Étape 4 : installation de SSM Agent pour un environnement hybride et multicloud (Windows) - AWS Systems Manager
Configuration de la rotation automatique de la clé privéeDésenregistrer et réenregistrer un nœud géré

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 4 : installation de SSM Agent pour un environnement hybride et multicloud (Windows)

Cette rubrique décrit comment installer SSM Agent sur des machines Windows Server dans un environnement hybride et multicloud. Si vous prévoyez d'utiliser des machines Linux non EC2 dans un environnement hybride et multicloud, consultez l'étape précédente, Étape 3 : installation de SSM Agent pour un environnement hybride et multicloud (Linux).

Important

Cette procédure concerne des machines non EC2 (Amazon Elastic Compute Cloud) dans un environnement hybride et multicloud. Pour télécharger et installer l'SSM Agent sur une instance EC2 pour Windows Server, consultez Utilisation de SSM Agent sur des instances EC2 pour Windows Server.

Avant de commencer, recherchez le code d'activation et l'ID d'activation qui vous ont été envoyés à la fin de l'activation hybride, plus haut dans la rubrique Étape 2 : création d'une activation hybride pour un environnement hybride et multicloud. Vous indiquez le code et l'ID dans la procédure suivante.

Pour installer SSM Agent sur des machines Windows Server non EC2 dans un environnement hybride et multicloud

  1. Connectez-vous à un serveur ou une VM de votre environnement hybride et multicloud.

  2. Si vous utilisez un proxy HTTP ou HTTPS, vous devez définir les variables d'environnement http_proxy ou https_proxy dans la session shell en cours. Si vous n'utilisez pas de proxy, vous pouvez ignorer cette étape.

    Pour un serveur proxy HTTP, définissez cette variable :

    http_proxy=http://hostname:port
https_proxy=http://hostname:port

    Pour un serveur proxy HTTPS, définissez cette variable :

    http_proxy=http://hostname:port
https_proxy=https://hostname:port

  3. Ouvrez Windows PowerShell en mode élevé (administratif).

  4. Copiez et collez le bloc de commande suivant dans les Windows PowerShell. Remplacez chaque example resource placeholder (espace réservé pour les ressources) avec vos propres informations. Par exemple, le code d'activation et l'identifiant d'activation générés lorsque vous créez une activation hybride, et avec l'identifiant du fichier à SSM Agent partir Région AWS duquel vous souhaitez effectuer le téléchargement.

    Note

    Prenez note des informations importantes suivantes :

    • ssm-setup-cli prend en charge une option manifest-url qui détermine la source à partir de laquelle l’agent est téléchargé. Ne spécifiez aucune valeur pour cette option à moins que votre organisation ne l’exige.

    • Vous pouvez utiliser le script fourni ici pour valider la signature dessm-setup-cli.

    • Lors de l’enregistrement des instances, n’utilisez que le lien de téléchargement fourni pour ssm-setup-cli. ssm-setup-cli ne doit pas être stocké séparément pour une utilisation ultérieure.

    région représente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple us-east-2 pour la région USA Est (Ohio). Pour obtenir une liste des valeurs region prises en charge, consultez la colonne Région dans la rubrique Points de terminaison de service Systems Manager de la Référence générale d'Amazon Web Services.

    De plus, ssm-setup-cli inclut les options suivantes :

    • version : les valeurs valides sont latest et stable.

    • downgrade : rétablit une version antérieure de l’agent.

    • skip-signature-validation : ignore la validation de signature lors du téléchargement et de l’installation de l’agent.

    64-bit
    [System.Net.ServicePointManager]::SecurityProtocol = 'TLS12'
$code = "activation-code"
$id = "activation-id"
$region = "us-east-1"
$dir = $env:TEMP + "\ssm"
New-Item -ItemType directory -Path $dir -Force
cd $dir
(New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_amd64/ssm-setup-cli.exe", $dir + "\ssm-setup-cli.exe")
./ssm-setup-cli.exe -register -activation-code="$code" -activation-id="$id" -region="$region"
Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration")
Get-Service -Name "AmazonSSMAgent"
    32-bit
    "[System.Net.ServicePointManager]::SecurityProtocol = 'TLS12'"
$code = "activation-code"
$id = "activation-id"
$region = "us-east-1"
$dir = $env:TEMP + "\ssm"
New-Item -ItemType directory -Path $dir -Force
cd $dir
(New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_386/ssm-setup-cli.exe", $dir + "\ssm-setup-cli.exe")
./ssm-setup-cli.exe -register -activation-code="$code" -activation-id="$id" -region="$region"
Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration")
Get-Service -Name "AmazonSSMAgent"

  5. Appuyez sur Enter.

La commande exécute les opérations suivantes :

  • Télécharge et installe SSM Agent sur la machine.

  • Enregistre la machine avec le service Systems Manager.

  • Renvoie à la demande une réponse semblable à ce qui suit :

        Directory: C:\Users\ADMINI~1\AppData\Local\Temp\2


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
d-----       07/07/2018   8:07 PM                ssm
{"ManagedInstanceID":"mi-008d36be46EXAMPLE","Region":"us-east-2"}

Status      : Running
Name        : AmazonSSMAgent
DisplayName : Amazon SSM Agent

La machine est désormais un nœud géré. Ces nœuds gérés sont à présent identifiés avec le préfixe « mi- ». Vous pouvez afficher les nœuds gérés sur la page des nœuds gérés dansFleet Manager, à l'aide de la AWS CLI commande describe-instance-informationou de la commande API DescribeInstanceInformation.

Configuration de la rotation automatique de la clé privée

Pour renforcer votre niveau de sécurité, vous pouvez configurer AWS Systems Manager Agent (SSM Agent) pour qu'il fasse automatiquement pivoter la clé privée dans un environnement hybride et multicloud. Vous pouvez accéder à cette fonction en utilisant la version 3.0.1031.0 ou ultérieure de l'SSM Agent. Procédez comme suit pour activer cette fonction.

Pour configurer SSM Agent de sorte à effectuer une rotation de la clé privée d'un environnement hybride et multicloud

  1. Accédez à /etc/amazon/ssm/ sur une machine Linux ou à C:\Program Files\Amazon\SSM sur une machine Windows Server.

  2. Copiez le contenu de amazon-ssm-agent.json.template vers un nouveau fichier appelé amazon-ssm-agent.json. Enregistrez amazon-ssm-agent.json dans le même répertoire que amazon-ssm-agent.json.template.

  3. Recherchez Profile, KeyAutoRotateDays. Saisissez le nombre de jours qui doit séparer les rotations automatiques de clé privée.

  4. Redémarrez SSM Agent.

Chaque fois que vous modifiez la configuration, redémarrez l'SSM Agent.

Vous pouvez personnaliser d'autres fonctions de l'SSM Agent en suivant la même procédure. Pour une up-to-date liste des propriétés de configuration disponibles et de leurs valeurs par défaut, consultez la section Définitions des propriétés de configuration.

Désenregistrer et réenregistrer un nœud géré

Vous pouvez annuler l'enregistrement d'un nœud géré en appelant l'opération DeregisterManagedInstanceAPI depuis Windows AWS CLI ou depuis Tools for Windows. PowerShell Voici un exemple de commande de l'interface de ligne de commande :

aws ssm deregister-managed-instance --instance-id "mi-1234567890"

Pour supprimer les informations d’enregistrement restantes pour l’agent, supprimez la clé IdentityConsumptionOrder du fichier amazon-ssm-agent.json. Ensuite, exécutez la commande suivante :

amazon-ssm-agent -register -clear

Vous pouvez réenregistrer une machine après avoir annulé son enregistrement. Procédez comme suit pour réenregistrer une machine sous forme de nœud géré. Une fois la procédure terminée, votre nœud géré s'affiche à nouveau dans la liste des nœuds gérés.

Réenregistrer un nœud géré sur une machine hybride Windows

  1. Connectez-vous à votre machine.

  2. Exécutez la commande suivante. Veillez à remplacer les valeurs d'espace réservé par le code d'activation et l'ID d'activation générés lors de la création d'une activation hybride, et par l'identifiant de la région depuis laquelle vous souhaitez télécharger SSM Agent.

    'yes' | & Start-Process ./ssm-setup-cli.exe -ArgumentList @("-register", "-activation-code=$code", "-activation-id=$id", "-region=$region") -Wait
Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration")
Get-Service -Name "AmazonSSMAgent"