Solución de problemas de disponibilidad de nodos administrados mediante ssm-cli
La ssm-cli es una herramienta de la línea de comandos independiente incluida en la instalación de SSM Agent. Al instalar SSM Agent 3.1.501.0 o una versión posterior en un equipo, puede ejecutar comandos ssm-cli en ese equipo. El resultado de estos comandos lo ayuda a determinar si el equipo cumple con los requisitos mínimos para que AWS Systems Manager administre una instancia de Amazon EC2 o un equipo que no sea de EC2 y que, por lo tanto, se agregue a listas de nodos administrados de Systems Manager. (La versión 3.1.501.0 de SSM Agent se publicó en noviembre de 2021).
Requisitos mínimos
Para que AWS Systems Manager administre una instancia de Amazon EC2 o un equipo que no sea de EC2, y que estos estén disponibles en listas de nodos administrados, se deben cumplir tres requisitos principales:
-
SSM Agent debe estar instalado y ejecutándose en un equipo con un sistema operativo compatible.
Algunas Amazon Machine Images (AMIs) administradas de AWS para EC2 están configuradas para lanzar instancias con SSM Agent preinstalado. (También puede configurar una AMI personalizada para la preinstalación de SSM Agent.) Para obtener más información, consulte Búsqueda de AMIs con SSM Agent preinstalado.
-
Debe asociarse al equipo un perfil de instancia de AWS Identity and Access Management (IAM) (para instancias de EC2) o un rol de servicio de IAM (para equipos que no sean de EC2) que proporcione los permisos necesarios para comunicarse con el servicio de Systems Manager.
-
SSM Agent debe poder conectarse a un punto de conexión de Systems Manager para registrarse en el servicio. A partir de entonces, el nodo administrado debe estar disponible para el servicio, lo que se confirma mediante el envío de una señal cada cinco minutos para verificar el estado del nodo administrado.
Comandos preconfigurados en ssm-cli
Se incluyen comandos preconfigurados que recopilan la información necesaria para ayudarlo a diagnosticar por qué un equipo que ha confirmado que se está ejecutando no está incluido en las listas de nodos administrados de Systems Manager. Estos comandos se ejecutan cuando se especifica la opción get-diagnostics.
En el equipo, ejecute el siguiente comando para utilizar ssm-cli como ayuda para solucionar problemas de disponibilidad del nodo administrado.
El comando devuelve el resultado en formato de tabla similar al siguiente.
nota
Las comprobaciones de conectividad a los puntos de conexión ssmmessages, s3, kms, logs y monitoring son para características opcionales adicionales, tales como Session Manager, que pueden registrarse en Amazon Simple Storage Service (Amazon S3) o los Registros de Amazon CloudWatch, y utilizar el cifrado de AWS Key Management Service (AWS KMS).
En la siguiente tabla se proporcionan detalles adicionales para cada una de las verificaciones realizadas por ssm-cli.
Verificaciones de diagnóstico de ssm-cli | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Check | Detalles | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Servicio de metadatos de la instancia de Amazon EC2 | Indica si el nodo administrado puede acceder al servicio de metadatos. Una prueba fallida indica un problema de conectividad con http://169.254.169.254, que puede deberse a configuraciones de firewall y proxy de la ruta local, el proxy o el sistema operativo (SO). |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Registro de instancias híbridas | Indica si SSM Agent está registrado mediante una activación híbrida. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Conectividad al punto de conexión ssm |
Indica si el nodo puede acceder a los puntos de conexión de servicio de Systems Manager en el puerto TCP 443. Una prueba fallida indica problemas de conectividad con https://ssm. en función de la Región de AWS donde se encuentra el nodo. Los problemas de conectividad se pueden deber a la configuración de la VPC, incluidos grupos de seguridad, listas de control de acceso a la red, tablas de enrutamiento o firewalls y proxies del SO. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Conectividad al punto de conexión ec2messages |
Indica si el nodo puede acceder a los puntos de conexión de servicio de Systems Manager en el puerto TCP 443. Una prueba fallida indica problemas de conectividad con https://ec2messages. en función de la Región de AWS donde se encuentra el nodo. Los problemas de conectividad se pueden deber a la configuración de la VPC, incluidos grupos de seguridad, listas de control de acceso a la red, tablas de enrutamiento o firewalls y proxies del SO. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Conectividad al punto de conexión ssmmessages |
Indica si el nodo puede acceder a los puntos de conexión de servicio de Systems Manager en el puerto TCP 443. Una prueba fallida indica problemas de conectividad con https://ssmmessages. en función de la Región de AWS donde se encuentra el nodo. Los problemas de conectividad se pueden deber a la configuración de la VPC, incluidos grupos de seguridad, listas de control de acceso a la red, tablas de enrutamiento o firewalls y proxies del SO. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Conectividad al punto de conexión s3 |
Indica si el nodo puede acceder al punto de conexión de servicio de Amazon Simple Storage Service en el puerto TCP 443. Una prueba fallida indica problemas de conectividad con https://s3. en función de la Región de AWS donde se encuentra el nodo. No es necesaria la conectividad a este punto de conexión para que un nodo aparezca en la lista de nodos administrados. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Conectividad al punto de conexión kms |
Indica si el nodo puede acceder al punto de conexión de servicio de AWS Key Management Service en el puerto TCP 443. Una prueba fallida indica problemas de conectividad con |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Conectividad al punto de conexión logs |
Indica si el nodo puede acceder al punto de conexión de servicio de Registros de Amazon CloudWatch en el puerto TCP 443. Una prueba fallida indica problemas de conectividad con https://logs. en función de la Región de AWS donde se encuentra el nodo. No es necesaria la conectividad a este punto de conexión para que un nodo aparezca en la lista de nodos administrados. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Conectividad al punto de conexión monitoring |
Indica si el nodo puede acceder al punto de conexión de servicio de Amazon CloudWatch en el puerto TCP 443. Una prueba fallida indica problemas de conectividad con https://monitoring. en función de la Región de AWS donde se encuentra el nodo. No es necesaria la conectividad a este punto de conexión para que un nodo aparezca en la lista de nodos administrados. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Credenciales de AWS | Indica si SSM Agent tiene las credenciales necesarias en función del perfil de instancia de IAM (para instancias de EC2) o el rol de servicio de IAM (para equipos que no sean de EC2) asociadas al equipo. Una prueba fallida indica que no hay un perfil de instancia de IAM o un rol de servicio de IAM asociado al equipo o que no contiene los permisos necesarios para Systems Manager. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Servicio de agente | Indica si el servicio de SSM Agent se está ejecutando y si se ejecuta como raíz para Linux o macOS, o como SYSTEM para Windows Server. Una prueba fallida indica que el servicio de SSM Agent no se está ejecutando o no se ejecuta como raíz o SYSTEM. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Configuración del proxy | Indica si SSM Agent está configurado para utilizar un proxy. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Estado de imagen de Sysprep (solo Windows) | Indica el estado de Sysprep en el nodo. SSM Agent no iniciará en el nodo si el estado de Sysprep es un valor distinto a IMAGE_STATE_COMPLETE. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Versión de SSM Agent | Indica si está instalada la versión más reciente disponible de SSM Agent. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
