Paso 4: instalar SSM Agent para un entorno híbrido y multinube (Windows)

En este tema se describe cómo instalar el SSM Agent en equipos Windows Server para un entorno híbrido y multinube. Si tiene previsto utilizar equipos Linux que no sean de EC2 en un entorno híbrido y multinube, consulte el paso anterior, Paso 3: instalar SSM Agent para un entorno híbrido y multinube (Linux).

importante

Este procedimiento es para equipos que no sean de EC2 (Amazon Elastic Compute Cloud) en un entorno híbrido y multinube. Para descargar e instalar el SSM Agent en una instancia de EC2 para Windows Server, consulte Uso de SSM Agent en instancias de EC2 para Windows Server.

Antes de comenzar, localice el código y el ID de activación que le enviamos después de completar la activación híbrida antes en Paso 2: crear una activación híbrida para un entorno híbrido y multinube. Deberá especificar el código y el ID en el siguiente procedimiento.

Instalación de SSM Agent en equipos Windows Server que no sean de EC2 en un entorno híbrido y multinube

1. Inicie sesión en un servidor o una máquina virtual del entorno híbrido y multinube.

2. Si utiliza un proxy HTTP o HTTPS, debe establecer las variables de entorno http_proxy o https_proxy en la sesión de shell actual. Si no utiliza un proxy, puede omitir este paso.

   Para un servidor proxy HTTP, configure esta variable:

   http_proxy=http://hostname:port
   https_proxy=http://hostname:port

   Para un servidor proxy HTTPS, configure esta variable:

   http_proxy=http://hostname:port
   https_proxy=https://hostname:port

3. Abra Windows PowerShell en modo (administrativo) con permisos elevados.

4. Copie y pegue el siguiente bloque de comandos en Windows PowerShell. Reemplace cada example resource placeholder con su propia información. Por ejemplo, el código de activación y el identificador de activación generados al crear una activación híbrida y con el identificador del dispositivo SSM Agent desde el Región de AWS que desea realizar la descarga.

   nota

   Tenga en cuenta los siguientes detalles importantes:

   • ssm-setup-cli admite una opción manifest-url que determina la fuente desde la que se descarga el agente. No especifique un valor para esta opción a menos que la organización lo requiera.

   • Puede utilizar el script que se proporciona aquí para validar la firma dessm-setup-cli.

   • Utilice únicamente el enlace de descarga proporcionado para ssm-setup-cli cuando registre instancias. No debe almacenar ssm-setup-cli por separado para su uso futuro.

   la región representa el identificador de una región Región de AWS compatible con AWS Systems Manager, por ejemplo, la región Este de EE. UU. (Ohio). us-east-2 Para ver una lista de los valores de regiones admitidos, consulte la columna Región en Puntos de conexión de servicio de Systems Manager en la Referencia general de Amazon Web Services.

   Además, ssm-setup-cli incluye las siguientes opciones:

   • version: los valores válidos son latest y stable.

   • downgrade: revierte el agente a una versión anterior.

   • skip-signature-validation: omite la validación de la firma durante la descarga e instalación del agente.

   64-bit

   [System.Net.ServicePointManager]::SecurityProtocol = 'TLS12'
   $code = "activation-code"
   $id = "activation-id"
   $region = "us-east-1"
   $dir = $env:TEMP + "\ssm"
   New-Item -ItemType directory -Path $dir -Force
   cd $dir
   (New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_amd64/ssm-setup-cli.exe", $dir + "\ssm-setup-cli.exe")
   ./ssm-setup-cli.exe -register -activation-code="$code" -activation-id="$id" -region="$region"
   Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration")
   Get-Service -Name "AmazonSSMAgent"

   32-bit

   "[System.Net.ServicePointManager]::SecurityProtocol = 'TLS12'"
   $code = "activation-code"
   $id = "activation-id"
   $region = "us-east-1"
   $dir = $env:TEMP + "\ssm"
   New-Item -ItemType directory -Path $dir -Force
   cd $dir
   (New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_386/ssm-setup-cli.exe", $dir + "\ssm-setup-cli.exe")
   ./ssm-setup-cli.exe -register -activation-code="$code" -activation-id="$id" -region="$region"
   Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration")
   Get-Service -Name "AmazonSSMAgent"

5. Pulse Enter.

El comando hace lo siguiente:

• Descarga e instala SSM Agent en el equipo.

• Registra la máquina en el servicio de Systems Manager.

• Devuelve una respuesta a la solicitud similar a la siguiente:

      Directory: C:\Users\ADMINI~1\AppData\Local\Temp\2
  
  
  Mode                LastWriteTime         Length Name
  ----                -------------         ------ ----
  d-----       07/07/2018   8:07 PM                ssm
  {"ManagedInstanceID":"mi-008d36be46EXAMPLE","Region":"us-east-2"}
  
  Status      : Running
  Name        : AmazonSSMAgent
  DisplayName : Amazon SSM Agent

El equipo ahora es un nodo administrado. Ahora, estos nodos administrados están identificados con el prefijo "mi-". Puede ver los nodos gestionados en la página de nodos gestionados de Fleet Manager describe-instance-information, mediante el AWS CLI comando o mediante el comando API DescribeInstanceInformation.

Configuración de la rotación automática de clave privada

Para reforzar su postura de seguridad, puede configurar AWS Systems Manager Agent (SSM Agent) para que rote automáticamente la clave privada en un entorno híbrido y multinube. Puede acceder a esta característica mediante la versión 3.0.1031.0 o posterior de SSM Agent. Active esta característica siguiendo el procedimiento que se describe a continuación.

Para configurar SSM Agent para rotar la clave privada del entorno híbrido y multinube

1. Vaya a /etc/amazon/ssm/ en un equipo Linux o a C:\Program Files\Amazon\SSM para un equipo Windows Server.

2. Copie los contenidos de amazon-ssm-agent.json.template en un archivo nuevo denominado amazon-ssm-agent.json. Guarde amazon-ssm-agent.json en el mismo directorio donde se encuentra amazon-ssm-agent.json.template.

3. EncuentreProfile, KeyAutoRotateDays. Ingrese el número de días que desea entre las rotaciones automáticas de clave privada.

4. Reinicie SSM Agent.

Cada vez que cambie la configuración, reinicie SSM Agent.

Puede personalizar otras características de SSM Agent mediante el mismo procedimiento. Para obtener una up-to-date lista de las propiedades de configuración disponibles y sus valores predeterminados, consulte Config Property Definitions.

Anulación del registro y nuevo registro de un nodo administrado

Para anular el registro de un nodo gestionado, llame a la operación de la DeregisterManagedInstanceAPI desde AWS CLI o desde Herramientas para Windows. PowerShell A continuación, se muestra un ejemplo de comando de la CLI:

aws ssm deregister-managed-instance --instance-id "mi-1234567890"

Para eliminar el resto de la información de registro del agente, elimine la clave IdentityConsumptionOrder del archivo amazon-ssm-agent.json. A continuación, ejecute el siguiente comando:

amazon-ssm-agent -register -clear

Puede volver a registrar una máquina después de anular el registro. Utilice el siguiente procedimiento para volver a registrar un equipo como un nodo administrado. Después de completar el procedimiento, el nodo administrado se muestra de nuevo en la lista de nodos administrados.

Para volver a registrar un nodo administrado en un equipo híbrido Windows

1. Conéctese a su máquina.

2. Ejecute el siguiente comando de la . Asegúrese de sustituir los valores de marcador por el código y el ID de activación que se generan cuando crea una activación híbrida y por el identificador de la región desde la que desea descargar el SSM Agent.

   'yes' | & Start-Process ./ssm-setup-cli.exe -ArgumentList @("-register", "-activation-code=$code", "-activation-id=$id", "-region=$region") -Wait
   Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration")
   Get-Service -Name "AmazonSSMAgent"