Étape 6 : Installer SSM Agent pour un environnement hybride (Windows) - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 6 : Installer SSM Agent pour un environnement hybride (Windows)

Cette rubrique décrit comment installer SSM Agent sur des machines Windows Server dans un environnement hybride. Si vous prévoyez d'utiliser des machines Linux dans un environnement hybride, veuillez consulter l'étape précédente,Étape 5 : Installer SSM Agent pour un environnement hybride (Linux).

Important

Cette procédure concerne les serveurs et les machines virtuelles appartenant à un environnement sur site ou hybride. Pour télécharger et installer l'SSM Agent sur une instance EC2 pour Windows Server, veuillez consulter Installation et configuration deSSM Agentsur Instances EC2Windows Server.

Avant de commencer, recherchez le code d'activation et l'ID d'activation qui vous ont été envoyés à la fin de l'activation d'instance gérée, plus haut dans la rubrique Étape 4 : Créer une activation d'instance gérée pour un environnement hybride. Vous indiquez le code et l'ID dans la procédure suivante.

Pour installer SSM Agent sur des serveurs et des machines virtuelles dans votre environnement hybride

  1. Connectez-vous à un serveur ou une machine virtuelle de votre environnement hybride.

  2. Si vous utilisez un proxy HTTP ou HTTPS, vous devez définir l'http_proxyouhttps_proxydans la session shell en cours. Si vous n'utilisez pas de proxy, vous pouvez ignorer cette étape.

    Pour un serveur proxy HTTP, définissez cette variable :

    http_proxy=http://hostname:port https_proxy=http://hostname:port

    Pour un serveur proxy HTTPS, définissez cette variable :

    http_proxy=http://hostname:port https_proxy=https://hostname:port
  3. Ouvrez Windows PowerShell en mode élevé (administratif).

  4. Copiez et collez le bloc de commande suivant dans Windows PowerShell. Remplacez les valeurs d'espace réservé par le code d'activation et l'ID d'activation générés lors de la création d'une activation d'instance gérée, et par l'identifiant du Région AWS que vous voulez téléchargerSSM Agentdepuis.

    regionreprésente l'identificateur d'un Région AWS pris en charge parAWS Systems Manager, commeus-east-2Pour la région USA Est (Ohio). Pour une liste des domaines pris en chargeregion, consultez la sectionRegion (Région)column dansPoints de terminaison du service Systems Manager Managerdans leAmazon Web Services - Référence générale.

    64-bit
    $code = "activation-code" $id = "activation-id" $region = "region" $dir = $env:TEMP + "\ssm" New-Item -ItemType directory -Path $dir -Force cd $dir (New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_amd64/AmazonSSMAgentSetup.exe", $dir + "\AmazonSSMAgentSetup.exe") Start-Process .\AmazonSSMAgentSetup.exe -ArgumentList @("/q", "/log", "install.log", "CODE=$code", "ID=$id", "REGION=$region") -Wait Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration") Get-Service -Name "AmazonSSMAgent"
    32-bit
    $code = "activation-code" $id = "activation-id" $region = "region" $dir = $env:TEMP + "\ssm" New-Item -ItemType directory -Path $dir -Force cd $dir (New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_386/AmazonSSMAgentSetup.exe", $dir + "\AmazonSSMAgentSetup.exe") Start-Process .\AmazonSSMAgentSetup.exe -ArgumentList @("/q", "/log", "install.log", "CODE=$code", "ID=$id", "REGION=$region") -Wait Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration") Get-Service -Name "AmazonSSMAgent"
  5. Appuyez sur Enter.

La commande exécute les opérations suivantes :

  • Télécharge et installe SSM Agent sur le serveur ou la machine virtuelle.

  • Enregistre le serveur ou la machine virtuelle auprès du service Systems Manager.

  • Renvoie à la demande une réponse semblable à ce qui suit :

        Directory: C:\Users\ADMINI~1\AppData\Local\Temp\2
    
    
    Mode                LastWriteTime         Length Name
    ----                -------------         ------ ----
    d-----       07/07/2018   8:07 PM                ssm
    {"ManagedInstanceID":"mi-008d36be46EXAMPLE","Region":"us-east-2"}
    
    Status      : Running
    Name        : AmazonSSMAgent
    DisplayName : Amazon SSM Agent

Le serveur ou la machine virtuelle est désormais une instance gérée. Ces instances sont à présent identifiées avec le préfixe « mi- ». Vous pouvez afficher les instances gérées sur leInstances géréesdans la console du Systems Manager, à l'aide de laAWS CLICommande de l'describe-instance-information, ou à l'aide de la commande APIDescribeInstancePatches.

Configuration de la rotation automatique de clé privée

Pour renforcer votre posture de sécurité, vous pouvez configurerAWS Systems ManagerAgent (SSM Agent) pour faire pivoter automatiquement la clé privée de l'environnement hybride. Vous pouvez accéder à cette fonctionnalité en utilisantSSM Agentversion 3.103.1.0 ou ultérieure. Activez cette fonctionnalité à l'aide de la procédure suivante.

Pour configurerSSM Agentpour faire pivoter la clé privée de l'environnement hybride

  1. Accédez à/etc/amazon/ssm/sur une machine Linux ouC:\Program Files\Amazon\SSMpour une machine Windows.

  2. Copiez le contenu deamazon-ssm-agent.json.templatevers un nouveau fichier nomméamazon-ssm-agent.json. Enregistreramazon-ssm-agent.jsonDans le même répertoire oùamazon-ssm-agent.json.templatese trouve.

  3. RechercherProfile,KeyAutoRotateDays. Entrez le nombre de jours que vous souhaitez entre les rotations automatiques de clés privées.

  4. Redémarrez SSM Agent.

Chaque fois que vous modifiez la configuration, redémarrezSSM Agent.

Vous pouvez personnaliser d'autres fonctionnalités deSSM Agenten utilisant la même procédure. Pour accéder à la liste à jour des propriétés de configuration disponibles et de leurs valeurs par défaut, consultezConfig des propriétés.

Désenregistrer et réenregistrer une instance gérée

Vous pouvez annuler l'enregistrement d'une instance gérée en appelant l'DeregisterManagedInstanceà partir de l'APIAWS CLIou Tools for Windows PowerShell. Voici un exemple de commande de l'interface de ligne de commande :

aws ssm deregister-managed-instance --instance-id "mi-1234567890"

Vous pouvez réinscrire une instance gérée après l'avoir annulée. Utilisez la procédure suivante pour enregistrer à nouveau une instance gérée. Une fois la procédure terminée, votre instance gérée s'affiche à nouveau dans la liste des instances gérées.

Pour réinscrire une instance gérée sur une machine hybride Windows

  1. Connectez-vous à votre instance.

  2. Exécutez la commande suivante. Assurez-vous de remplacer les valeurs d'espace réservé par le code d'activation et l'ID d'activation générés lors de la création d'une activation d'instance gérée, et par l'identifiant de la région que vous souhaitez télécharger l'SSM Agentdepuis.

    'yes' | & 'C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe' -register -code activation-code -id activation-id -region region; Restart-Service AmazonSSMAgent