Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Étape 4 : installation de SSM Agent pour un environnement hybride et multicloud (Windows)
Cette rubrique décrit comment installer SSM Agent sur des machines Windows Server dans un environnement hybride et multicloud. Si vous prévoyez d'utiliser des machines Linux non EC2 dans un environnement hybride et multicloud, consultez l'étape précédente, Étape 3 : installation de SSM Agent pour un environnement hybride et multicloud (Linux).
Important
Cette procédure concerne des machines non EC2 (Amazon Elastic Compute Cloud) dans un environnement hybride et multicloud. Pour télécharger et installer l'SSM Agent sur une instance EC2 pour Windows Server, consultez Utilisation de SSM Agent sur des instances EC2 pour Windows Server.
Avant de commencer, recherchez le code d'activation et l'ID d'activation qui vous ont été envoyés à la fin de l'activation hybride, plus haut dans la rubrique Étape 2 : création d'une activation hybride pour un environnement hybride et multicloud. Vous indiquez le code et l'ID dans la procédure suivante.
Pour installer SSM Agent sur des machines Windows Server non EC2 dans un environnement hybride et multicloud
-
Connectez-vous à un serveur ou une VM de votre environnement hybride et multicloud.
-
Si vous utilisez un proxy HTTP ou HTTPS, vous devez définir les variables d'environnement
http_proxy
ouhttps_proxy
dans la session shell en cours. Si vous n'utilisez pas de proxy, vous pouvez ignorer cette étape.Pour un serveur proxy HTTP, définissez cette variable :
http_proxy=http://
hostname
:port
https_proxy=http://hostname
:port
Pour un serveur proxy HTTPS, définissez cette variable :
http_proxy=http://
hostname
:port
https_proxy=https://hostname
:port
-
Ouvrez Windows PowerShell en mode élevé (administratif).
-
Copiez et collez le bloc de commande suivant dans les Windows PowerShell. Remplacez chaque
example resource placeholder
(espace réservé pour les ressources) avec vos propres informations. Par exemple, le code d'activation et l'identifiant d'activation générés lorsque vous créez une activation hybride, et avec l'identifiant du fichier à SSM Agent partir Région AWS duquel vous souhaitez effectuer le téléchargement.Note
Prenez note des informations importantes suivantes :
-
ssm-setup-cli
prend en charge une optionmanifest-url
qui détermine la source à partir de laquelle l’agent est téléchargé. Ne spécifiez aucune valeur pour cette option à moins que votre organisation ne l’exige. -
Vous pouvez utiliser le script fourni ici
pour valider la signature de ssm-setup-cli
. -
Lors de l’enregistrement des instances, n’utilisez que le lien de téléchargement fourni pour
ssm-setup-cli
.ssm-setup-cli
ne doit pas être stocké séparément pour une utilisation ultérieure.
région
représente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exempleus-east-2
pour la région USA Est (Ohio). Pour obtenir une liste des valeursregion
prises en charge, consultez la colonne Région dans la rubrique Points de terminaison de service Systems Manager de la Référence générale d'Amazon Web Services.De plus,
ssm-setup-cli
inclut les options suivantes :-
version
: les valeurs valides sontlatest
etstable
. -
downgrade
: rétablit une version antérieure de l’agent. -
skip-signature-validation
: ignore la validation de signature lors du téléchargement et de l’installation de l’agent.
-
-
Appuyez sur
Enter
.
La commande exécute les opérations suivantes :
-
Télécharge et installe SSM Agent sur la machine.
-
Enregistre la machine avec le service Systems Manager.
-
Renvoie à la demande une réponse semblable à ce qui suit :
Directory: C:\Users\ADMINI~1\AppData\Local\Temp\2 Mode LastWriteTime Length Name ---- ------------- ------ ---- d----- 07/07/2018 8:07 PM ssm {"ManagedInstanceID":"mi-008d36be46EXAMPLE","Region":"us-east-2"} Status : Running Name : AmazonSSMAgent DisplayName : Amazon SSM Agent
La machine est désormais un nœud géré. Ces nœuds gérés sont à présent identifiés avec le préfixe « mi- ». Vous pouvez afficher les nœuds gérés sur la page des nœuds gérés dansFleet Manager, à l'aide de la AWS CLI commande describe-instance-informationou de la commande API DescribeInstanceInformation.
Configuration de la rotation automatique de la clé privée
Pour renforcer votre niveau de sécurité, vous pouvez configurer AWS Systems Manager Agent (SSM Agent) pour qu'il fasse automatiquement pivoter la clé privée dans un environnement hybride et multicloud. Vous pouvez accéder à cette fonction en utilisant la version 3.0.1031.0 ou ultérieure de l'SSM Agent. Procédez comme suit pour activer cette fonction.
Pour configurer SSM Agent de sorte à effectuer une rotation de la clé privée d'un environnement hybride et multicloud
-
Accédez à
/etc/amazon/ssm/
sur une machine Linux ou àC:\Program Files\Amazon\SSM
sur une machine Windows Server. -
Copiez le contenu de
amazon-ssm-agent.json.template
vers un nouveau fichier appeléamazon-ssm-agent.json
. Enregistrezamazon-ssm-agent.json
dans le même répertoire queamazon-ssm-agent.json.template
. -
Recherchez
Profile
,KeyAutoRotateDays
. Saisissez le nombre de jours qui doit séparer les rotations automatiques de clé privée. -
Redémarrez SSM Agent.
Chaque fois que vous modifiez la configuration, redémarrez l'SSM Agent.
Vous pouvez personnaliser d'autres fonctions de l'SSM Agent en suivant la même procédure. Pour une up-to-date liste des propriétés de configuration disponibles et de leurs valeurs par défaut, consultez la section Définitions des propriétés de configuration
Désenregistrer et réenregistrer un nœud géré
Vous pouvez annuler l'enregistrement d'un nœud géré en appelant l'opération DeregisterManagedInstanceAPI depuis Windows AWS CLI ou depuis Tools for Windows. PowerShell Voici un exemple de commande de l'interface de ligne de commande :
aws ssm deregister-managed-instance --instance-id
"mi-1234567890"
Pour supprimer les informations d’enregistrement restantes pour l’agent, supprimez la clé IdentityConsumptionOrder
du fichier amazon-ssm-agent.json
. Ensuite, exécutez la commande suivante :
amazon-ssm-agent -register -clear
Vous pouvez réenregistrer une machine après avoir annulé son enregistrement. Procédez comme suit pour réenregistrer une machine sous forme de nœud géré. Une fois la procédure terminée, votre nœud géré s'affiche à nouveau dans la liste des nœuds gérés.
Réenregistrer un nœud géré sur une machine hybride Windows
-
Connectez-vous à votre machine.
-
Exécutez la commande suivante. Veillez à remplacer les valeurs d'espace réservé par le code d'activation et l'ID d'activation générés lors de la création d'une activation hybride, et par l'identifiant de la région depuis laquelle vous souhaitez télécharger SSM Agent.
'yes' | & Start-Process ./ssm-setup-cli.exe -ArgumentList @("-register", "-activation-code=$code", "-activation-id=$id", "-region=$region") -Wait Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration") Get-Service -Name "AmazonSSMAgent"