Étape 5 : Installer SSM Agent pour un environnement hybride (Linux) - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 5 : Installer SSM Agent pour un environnement hybride (Linux)

Cette rubrique décrit comment installerAWS Systems Manager SSM AgentSur des machines Linux dans un environnement hybride. Si vous prévoyez d'utiliserWindows ServerMachines dans un environnement hybride, consultez l'étape suivante,Étape 6 : Installer SSM Agent pour un environnement hybride (Windows).

Important

Cette procédure concerne les serveurs et les machines virtuelles appartenant à un environnement sur site ou hybride. Pour télécharger et installer l'SSM Agent sur une instance EC2 pour Linux, reportez-vous à la section Installation et configuration de l'SSM Agent sur les instances EC2 pour Linux.

Avant de commencer, recherchez le code d'activation et l'ID d'activation qui vous ont été envoyés à la fin de l'activation d'instance gérée, plus haut dans la rubrique Étape 4 : Créer une activation d'instance gérée pour un environnement hybride. Vous indiquez le code et l'ID dans la procédure suivante.

Les URL des scripts suivants vous permettent de téléchargerSSM AgentfromANY Région AWS . Si vous souhaitez télécharger l'agent à partir d'une région spécifique, copiez l'URL de votre système d'exploitation, puis remplacez region par une valeur appropriée.

regionreprésente l'identificateur d'un Région AWS pris en charge parAWS Systems Manager, commeus-east-2Pour la région USA Est (Ohio). Pour une liste des domaines pris en chargeregion, consultez la sectionRegion (Région)column dansPoints de terminaison du service Systems Manager Managerdans leAmazon Web Services - Référence générale.

Par exemple, pour téléchargerSSM AgentPour Amazon Linux,RHEL, CentOS etSLES64 bits de la région USA Ouest (Californie du Nord) (us-west-1), utilisez l'URL suivante :

https://s3.us-west-1.amazonaws.com/amazon-ssm-us-west-1/latest/linux_amd64/amazon-ssm-agent.rpm
Amazon Linux 2, Amazon Linux, RHEL, Oracle Linux, CentOS, and SLES
  • Intel 64-bit (x86_64)

    https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_amd64/amazon-ssm-agent.rpm

  • Intel 32-bit (x86)

    https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_386/amazon-ssm-agent.rpm

  • ARM 64-bit (arm64)

    https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_arm64/amazon-ssm-agent.rpm

Ubuntu Server
  • Intel 64-bit (x86_64)

    https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_amd64/amazon-ssm-agent.deb

  • Intel 32-bit (x86)

    https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_386/amazon-ssm-agent.deb

Debian Server
  • Intel 64-bit (x86_64)

    https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_amd64/amazon-ssm-agent.deb

  • ARM 64-bit (arm64)

    https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_arm64/amazon-ssm-agent.deb

Raspberry Pi OS (formerly Raspbian)
  • https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_arm/amazon-ssm-agent.deb

Pour installer SSM Agent sur des serveurs et des machines virtuelles dans votre environnement hybride

  1. Connectez-vous à un serveur ou une machine virtuelle de votre environnement hybride.

  2. Si vous utilisez un proxy HTTP ou HTTPS, vous devez définir l'http_proxyouhttps_proxydans la session shell en cours. Si vous n'utilisez pas de proxy, vous pouvez ignorer cette étape.

    Pour un serveur proxy HTTP, saisissez les commandes suivantes sur la ligne de commande :

    export http_proxy=http://hostname:port export https_proxy=http://hostname:port

    Pour un serveur proxy HTTPS, saisissez les commandes suivantes sur la ligne de commande :

    export http_proxy=http://hostname:port export https_proxy=https://hostname:port
  3. Copiez et collez l'un des blocs de commande suivants dans SSH. Remplacez les valeurs d'espace réservé par le code d'activation et l'ID d'activation générés lors de la création d'une activation d'instance gérée, et par l'identifiant du Région AWS que vous voulez téléchargerSSM Agentà partir de, puis appuyez surEnter.

    Note

    Notez les détails importants suivants :

    • sudon'est pas nécessaire si vous êtes un utilisateur racine.

    • Chaque bloc de commande spécifiesudo -E amazon-ssm-agent. Le-En'est nécessaire que si vous définissez une variable d'environnement proxy HTTP ou HTTPS.

    regionreprésente l'identificateur d'un Région AWS pris en charge parAWS Systems Manager, commeus-east-2Pour la région USA Est (Ohio). Pour une liste des domaines pris en chargeregion, consultez la sectionRegion (Région)column dansPoints de terminaison du service Systems Manager Managerdans leAmazon Web Services - Référence générale.

mkdir /tmp/ssm curl https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm -o /tmp/ssm/amazon-ssm-agent.rpm sudo yum install -y /tmp/ssm/amazon-ssm-agent.rpm sudo stop amazon-ssm-agent sudo -E amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region" sudo start amazon-ssm-agent
mkdir /tmp/ssm curl https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm -o /tmp/ssm/amazon-ssm-agent.rpm sudo yum install -y /tmp/ssm/amazon-ssm-agent.rpm sudo systemctl stop amazon-ssm-agent sudo -E amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region" sudo systemctl start amazon-ssm-agent
mkdir /tmp/ssm curl https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm -o /tmp/ssm/amazon-ssm-agent.rpm sudo dnf install -y /tmp/ssm/amazon-ssm-agent.rpm sudo systemctl stop amazon-ssm-agent sudo -E amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region" sudo systemctl start amazon-ssm-agent
mkdir /tmp/ssm wget https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_amd64/amazon-ssm-agent.deb -O /tmp/ssm/amazon-ssm-agent.deb sudo dpkg -i /tmp/ssm/amazon-ssm-agent.deb sudo service amazon-ssm-agent stop sudo -E amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region" sudo service amazon-ssm-agent start
mkdir /tmp/ssm sudo curl https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_arm/amazon-ssm-agent.deb -o /tmp/ssm/amazon-ssm-agent.deb sudo dpkg -i /tmp/ssm/amazon-ssm-agent.deb sudo service amazon-ssm-agent stop sudo -E amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region" sudo service amazon-ssm-agent start
mkdir /tmp/ssm sudo wget https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm sudo rpm --install amazon-ssm-agent.rpm sudo systemctl stop amazon-ssm-agent sudo -E amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region" sudo systemctl enable amazon-ssm-agent sudo systemctl start amazon-ssm-agent
  • Utilisation de packages .deb

    mkdir /tmp/ssm curl https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_amd64/amazon-ssm-agent.deb -o /tmp/ssm/amazon-ssm-agent.deb sudo dpkg -i /tmp/ssm/amazon-ssm-agent.deb sudo service amazon-ssm-agent stop sudo -E amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region" sudo service amazon-ssm-agent start
  • Utilisation de packages Snap

    Vous n'avez pas besoin de spécifier une URL pour le téléchargement, car la commande snap télécharge automatiquement l'agent à partir de la boutique d'applications Snap à l'adresse https://snapcraft.io.

    sudo snap install amazon-ssm-agent --classic sudo systemctl stop snap.amazon-ssm-agent.amazon-ssm-agent.service sudo /snap/amazon-ssm-agent/current/amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region" sudo systemctl start snap.amazon-ssm-agent.amazon-ssm-agent.service
    Important

    Lecandidatdans le magasin Snap contient la dernière version deSSM Agent ; pas le canal stable. Si vous voulez suivreSSM AgentSur le canal candidat, exécutez la commande suivante sur vos instances Ubuntu Server 18.04 et 16.04 LTS 64 bits.

    sudo snap switch --channel=candidate amazon-ssm-agent

La commande télécharge et installe SSM Agent sur le serveur ou la machine virtuelle de votre environnement hybride. La commande s'arrêteSSM Agent, puis enregistre le serveur ou la machine virtuelle auprès du service Systems Manager. Le serveur ou la machine virtuelle est désormais une instance gérée. Les instances Amazon EC2 configurées pour Systems Manager sont également des instances gérées. Toutefois, dans la console Systems Manager, vos instances sur site se distinguent des instances Amazon EC2 par le préfixe « mi- ».

Passez au Étape 6 : Installer SSM Agent pour un environnement hybride (Windows).

Configuration de la rotation automatique de clé privée

Pour renforcer votre posture de sécurité, vous pouvez configurerAWS Systems ManagerAgent (SSM Agent) pour faire pivoter automatiquement la clé privée de l'environnement hybride. Vous pouvez accéder à cette fonctionnalité en utilisantSSM Agentversion 3.103.1.0 ou ultérieure. Activez cette fonctionnalité à l'aide de la procédure suivante.

Pour configurerSSM Agentpour faire pivoter la clé privée de l'environnement hybride

  1. Accédez à/etc/amazon/ssm/sur une machine Linux ouC:\Program Files\Amazon\SSMpour une machine Windows.

  2. Copiez le contenu deamazon-ssm-agent.json.templatevers un nouveau fichier nomméamazon-ssm-agent.json. Enregistreramazon-ssm-agent.jsondans le même répertoire oùamazon-ssm-agent.json.templatese trouve.

  3. RechercherProfile,KeyAutoRotateDays. Entrez le nombre de jours que vous souhaitez entre les rotations automatiques de clés privées.

  4. Redémarrez SSM Agent.

Chaque fois que vous modifiez la configuration, redémarrezSSM Agent.

Vous pouvez personnaliser d'autres fonctionnalités deSSM Agenten utilisant la même procédure. Pour accéder à la liste à jour des propriétés de configuration disponibles et de leurs valeurs par défaut, consultezConfig des propriétés.

Désenregistrer et réenregistrer une instance gérée

Vous pouvez annuler l'enregistrement d'une instance gérée en appelant l'DeregisterManagedInstanceà partir de l'APIAWS CLIou Tools for Windows PowerShell. Voici un exemple de commande de l'interface de ligne de commande :

aws ssm deregister-managed-instance --instance-id "mi-1234567890"

Vous pouvez réinscrire une instance gérée après l'avoir annulée. Utilisez la procédure suivante pour enregistrer à nouveau une instance gérée. Une fois la procédure terminée, votre instance gérée s'affiche à nouveau dans la liste des instances gérées.

Pour réinscrire une instance gérée sur une machine hybride Linux

  1. Connectez-vous à votre instance.

  2. Exécutez la commande suivante. Assurez-vous de remplacer les valeurs d'espace réservé par le code d'activation et l'ID d'activation générés lors de la création d'une activation d'instance gérée, et par l'identifiant de la région que vous souhaitez télécharger l'SSM Agentdepuis.

    echo "yes" | sudo amazon-ssm-agent -register -code "activation-code" -id "activation-id" -region "region" && sudo systemctl restart amazon-ssm-agent

DépannageSSM Agentinstallation dans un environnement hybride Linux

Utilisez les informations suivantes pour dépanner les problèmes d'installationSSM Agentdans un environnement hybride Linux.

Vous recevez une erreur DeliveryTimedOut

Problème : Lors de la configuration d'une instance Amazon EC2 dans un Compte AWS en tant qu'instance gérée pour un Compte AWS , vous recevezDeliveryTimedOutaprès avoir exécuté les commandes pour installerSSM Agentsur l'instance cible.

Solution :DeliveryTimedOutest le code de réponse attendu pour ce scénario. La commande pour installerSSM AgentSur l'instance cible modifie l'ID d'instance de l'instance source. Étant donné que l'ID d'instance a changé, l'instance source n'est pas en mesure de répondre à l'instance cible que la commande a échoué, terminée ou expiré lors de l'exécution.

Impossible de charger les associations d'instance

Problème : Après avoir exécuté les commandes d'installation, l'erreur suivante s'affiche dans leSSM Agentjournaux des erreurs :

Unable to load instance associations, unable to retrieve associations unable to retrieve associations error occurred in RequestManagedInstanceRoleToken: MachineFingerprintDoesNotMatch: Fingerprint doesn't match

Cette erreur s'affiche lorsque l'ID de la machine ne persiste pas après un redémarrage.

Solution: Pour résoudre ce problème, exécutez la commande suivante. Cette commande force l'ID de la machine à conserver après un redémarrage.

umount /etc/machine-id systemd-machine-id-setup