Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Création d'associations qui exécutent des fichiers MOF

PDF
RSS
Mode de mise au point
Création d'associations qui exécutent des fichiers MOF - AWS Systems Manager
Utilisation d'Amazon S3 pour stocker les artefactsRésolution des informations d'identification dans les fichiers MOFUtilisation de jetons dans les fichiers MOFConditions préalables à la création d’associations qui exécutent des fichiers MOFCréation d'une association qui exécute des fichiers MOFRésolution des problèmes lors de la création d’associations qui exécutent des fichiers MOFAffichage des détails de conformité des ressources DSC

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vous pouvez exécuter des fichiers MOF (Managed Object Format) pour appliquer l'état souhaité aux nœuds gérés par Windows Server avec State Manager, un outil dans AWS Systems Manager, en utilisant le document AWS-ApplyDSCMofs SSM. Le document AWS-ApplyDSCMofs a deux modes d'exécution. Avec le premier mode, vous pouvez configurer l'association pour analyser et indiquer si les nœuds gérés sont dans l'état souhaité défini dans les fichiers MOF spécifiés. Dans le second mode, vous pouvez exécuter les fichiers MOF et modifier la configuration de vos nœuds basés sur les ressources et leurs valeurs définies dans les fichiers MOF. Le document AWS-ApplyDSCMofs vous permet de télécharger et d'exécuter des fichiers de configuration MOF à partir d'Amazon Simple Storage Service (Amazon S3), d'un partage local ou d'un site web sécurisé avec un domaine HTTPS.

State Manager enregistre et rapporte l'état de chaque exécution de fichier MOF lors de chaque exécution d'association. State Manager rapporte également le résultat de chaque exécution de fichier MOF sous forme d'événement de conformité que vous pouvez consulter sur la page AWS Systems Manager Conformité.

L'exécution des fichiers MOF repose sur la configuration d'état PowerShell souhaitée (PowerShell DSC) de Windows. PowerShell DSC est une plate-forme déclarative utilisée pour la configuration, le déploiement et la gestion des systèmes Windows. PowerShell DSC permet aux administrateurs de décrire, dans de simples documents texte appelés configurations DSC, comment ils souhaitent qu'un serveur soit configuré. Une configuration PowerShell DSC est un PowerShell script spécialisé qui indique ce qu'il faut faire, mais pas comment le faire. L'exécution de la configuration génère un fichier MOF. Le fichier MOF peut être appliqué à un ou plusieurs serveurs afin d'obtenir la configuration souhaitée pour ces serveurs. PowerShell Les ressources DSC se chargent réellement de l'application de la configuration. Pour plus d'informations, consultez la section Présentation de la configuration de l'état PowerShell souhaité de Windows.

Utilisation d'Amazon S3 pour stocker les artefacts

Si vous utilisez Amazon S3 pour stocker des PowerShell modules, des fichiers MOF, des rapports de conformité ou des rapports d'état, le rôle AWS Identity and Access Management (IAM) utilisé par AWS Systems Manager SSM Agent doit avoir GetObject et ListBucket autorisations sur le compartiment. Si vous ne fournissez pas ces autorisations, le système renvoie une erreur Accès refusé. Voici des informations importantes sur le stockage d'artefacts dans Amazon S3.

  • Si le compartiment se trouve dans un autre compartiment Compte AWS, créez une politique de ressources du compartiment qui accorde le compte (ou le rôle IAM) GetObject et ListBucket les autorisations.

  • Si vous voulez utiliser des ressources DSC personnalisées, vous pouvez les télécharger à partir d'un compartiment Amazon S3. Vous pouvez également les installer automatiquement depuis la PowerShell galerie.

  • Si vous utilisez Amazon S3 comme source de module, téléchargez le module sous forme de fichier Zip au format majuscules/minuscules suivant : ModuleName _ ModuleVersion .zip. Par exemple : MyModule _1.0.0.zip.

  • Tous les fichiers doivent se trouver dans le compartiment racine. Les structures de dossier ne sont pas prises en charge.

Résolution des informations d'identification dans les fichiers MOF

Les informations d'identification sont résolues en utilisant AWS Secrets Manager ou AWS Systems Manager Parameter Store. Cela vous permet de configurer la rotation automatique des informations d'identification. Cela permet également à DSC de propager automatiquement les informations d'identification à vos serveurs sans les redéployer. MOFs

Pour utiliser un AWS Secrets Manager secret dans une configuration, créez un PSCredential objet dont le nom d'utilisateur est le secret SecretId ou le SecretArn du secret contenant les informations d'identification. Vous pouvez spécifier n'importe quelle valeur pour le mot de passe. La valeur est ignorée. Voici un exemple.

Configuration MyConfig
{
   $ss = ConvertTo-SecureString -String 'a_string' -AsPlaintext -Force
   $credential = New-Object PSCredential('a_secret_or_ARN', $ss)

    Node localhost
    {
       File file_name
       {
           DestinationPath = 'C:\MyFile.txt'
           SourcePath = '\\FileServer\Share\MyFile.txt'
           Credential = $credential
       }
    }
}

Compilez votre MOF en utilisant les PsAllowPlaintextPassword paramètres des données de configuration. Cette opération ne pose pas de problème, car les informations d'identification contiennent uniquement une étiquette.

Dans Secrets Manager, assurez-vous que le nœud dispose d'un GetSecretValue accès dans le cadre d'une politique gérée par IAM, et éventuellement dans la politique de ressources secrètes s'il en existe une. Pour fonctionner avec DSC, le secret doit être au format suivant.

{ 'Username': 'a_name', 'Password': 'a_password' }

Le secret peut avoir d'autres propriétés (par exemple, des propriétés utilisées pour la rotation), mais il doit comporter au moins le nom d'utilisateur et le mot de passe.

Nous vous recommandons d'utiliser une méthode de rotation multi-utilisateurs, dans laquelle vous avez deux noms d'utilisateur et mots de passe différents, et la AWS Lambda fonction de rotation alterne entre eux. Cette méthode vous permet d'avoir plusieurs comptes actifs tout en éliminant le risque de bloquer un utilisateur pendant la rotation.

Utilisation de jetons dans les fichiers MOF

Les jetons vous permettent de modifier des valeurs de propriété de ressource après que le fichier MOF a été compilé. Cela vous permet de réutiliser des fichiers MOF courants sur plusieurs serveurs qui nécessitent des configurations similaires.

La substitution de jeton ne fonctionne que pour les propriétés de ressource de type String. Toutefois, si votre ressource comporte une propriété de nœud CIM imbriquée, elle résout également les jetons CIM à partir des propriétés String dans ce nœud CIM. Vous ne pouvez pas utiliser la substitution de jeton pour des nombres ou des tableaux.

Par exemple, imaginez un scénario dans lequel vous utilisez la xComputerManagement ressource et souhaitez renommer l'ordinateur à l'aide de DSC. Normalement, vous avez besoin d'un fichier MOF dédié pour cette machine. Cependant, avec la prise en charge des jetons, vous pouvez créer un seul fichier MOF et l'appliquer à tous vos nœuds. Dans la propriété ComputerName, au lieu de coder en dur le nom d'ordinateur dans le fichier MOF, vous pouvez utiliser un jeton de type balise (Tag) d'instance. La valeur est résolue lors de l'analyse du fichier MOF. Consultez l'exemple suivant.

Configuration MyConfig
{
    xComputer Computer
    {
        ComputerName = '{tag:ComputerName}'
    }
}

Vous définissez ensuite une balise soit sur le nœud géré dans la console Systems Manager, soit sur une balise Amazon Elastic Compute Cloud (Amazon EC2) dans la EC2 console Amazon. Lorsque vous exécutez le document, le script remplace le jeton {tag :ComputerName} par la valeur de la balise d'instance.

Vous pouvez également combiner plusieurs balises dans une seule propriété, tel qu'illustré dans l'exemple suivant :

Configuration MyConfig
{
    File MyFile
    {
        DestinationPath = '{env:TMP}\{tag:ComputerName}'
        Type = 'Directory'
    }
}

Vous pouvez utiliser cinq types de jetons différents :

  • tag : Amazon EC2 ou tags de nœuds gérés.

  • tagb64 : Identique à tag, mais le système utilise base64 pour décoder la valeur. Cela vous permet d'utiliser des caractères spéciaux dans des valeurs de balise.

  • env : Résout des variables d'environnement.

  • SMS : Parameter Store valeurs. Seuls les types String et Secure String sont pris en charge.

  • tagssm : identique à tag, mais si l'identification n'est pas définie sur le nœud, le système tente de résoudre la valeur à partir d'un paramètre Systems Manager avec le même nom. Cela s'avère utile dans des situations où vous souhaitez disposer d'une « valeur globale par défaut », mais pouvoir la remplacer sur un seul nœud (par exemple, pour des déploiements « one-box »).

Voici un Parameter Store exemple qui utilise le type de ssm jeton. 

File MyFile
{
    DestinationPath = "C:\ProgramData\ConnectionData.txt"
    Content = "{ssm:%servicePath%/ConnectionData}"
}

Les jetons jouent un rôle important pour la réduction du code redondant en rendant les fichiers MOF génériques et réutilisables. Si vous pouvez éviter les fichiers MOF spécifiques à un serveur, vous n'avez pas besoin d'un service de génération de fichier MOF. Un service de création MOF augmente les coûts, ralentit le temps de provisionnement et augmente le risque de dérive de configuration entre les nœuds groupés en raison des différentes versions des modules installées sur le serveur de compilation lors de leur compilation MOFs .

Conditions préalables à la création d’associations qui exécutent des fichiers MOF

Avant de créer une association qui exécute des fichiers MOF, vérifiez que vos nœuds gérés ont les prérequis suivants installés :

Création d'une association qui exécute des fichiers MOF

Pour créer une association qui exécute des fichiers MOF

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le volet de navigation, choisissez State Manager.

  3. Choisissez State Manager, puis choisissez Créer une association.

  4. Dans le champ Nom, spécifiez un nom. Cette action est facultative, mais recommandée. Un nom peut vous aider à comprendre quel était l'objectif de l'association quand vous avez créée celle-ci. Les espaces ne sont pas autorisés dans le nom.

  5. Dans la liste Document, sélectionnez AWS-ApplyDSCMofs.

  6. Dans la section Parameters (Paramètres), spécifiez vos choix pour les paramètres d'entrée obligatoires et facultatifs.

    1. Mofs To Apply (Fichiers MOF à appliquer) : spécifiez un ou plusieurs fichiers MOF à exécuter lors de l'exécution de cette association. Utilisez des virgules pour séparer les fichiers MOF dans une liste. Vous pouvez spécifier les options suivantes pour localiser un fichier MOF.

      • Nom de compartiment Amazon S3. Les noms de compartiment doivent utiliser des lettres minuscules. Spécifiez cette information à l'aide du format suivant.

        s3:amzn-s3-demo-bucket:MOF_file_name.mof

        Si vous souhaitez spécifier un Région AWS, utilisez le format suivant.

        s3:bucket_Region:amzn-s3-demo-bucket:MOF_file_name.mof

      • Un site web sécurisé. Spécifiez cette information à l'aide du format suivant.

        https://domain_name/MOF_file_name.mof

        Voici un exemple.

        https://www.example.com/TestMOF.mof

      • Un système de fichiers sur un partage local. Spécifiez cette information à l'aide du format suivant.

        \server_name\shared_folder_name\MOF_file_name.mof

        Voici un exemple.

        \StateManagerAssociationsBox\MOFs_folder\MyMof.mof

    2. Service Path (Chemin d'accès au service) : (Facultatif) Un chemin d'accès au service est un préfixe d'un compartiment Amazon S3 dans lequel vous voulez écrire des rapports et des informations de statut. Ou bien, un chemin de service est un chemin pour Parameter Store balises basées sur des paramètres. Lors de la résolution de balises basées sur des paramètres, le système utilise {ssm : %ServicePath%/parameter_name} pour injecter la valeur ServicePath dans le nom du paramètre. Par exemple, si le chemin de votre service est «WebServers/Production" then the systems resolves the parameter as: WebServers/Production/»parameter_name. Cela s'avère utile lorsque vous exécutez plusieurs environnements dans le même compte.

    3. Report Bucket Name (Nom du compartiment des rapports) : (Facultatif) Saisissez le nom d'un compartiment Amazon S3 dans lequel vous voulez écrire les données de conformité. Les rapports sont enregistrés dans ce compartiment au format JSON.

      Note

      Vous pouvez préfixer le nom de compartiment avec une région dans laquelle se trouve le compartiment. Voici un exemple : MOFBucket US-West-2:My. Si vous utilisez un proxy pour les points de terminaison Amazon S3 dans une région spécifique qui n'inclut pas us-east-1, vous devez préfixer le nom de compartiment avec une région. Si le nom du compartiment n'est pas préfixé, la région du compartiment sera automatiquement découverte à l'aide du point de terminaison us-east-1.

    4. Mode de fonctionnement Mof : Choisissez State Manager comportement lors de l'exécution de l'AWS-ApplyDSCMofsassociation :

      • Apply (Appliquer) : corriger les configurations de nœuds qui ne sont pas conformes.

      • ReportOnly: ne corrigez pas les configurations des nœuds, mais enregistrez toutes les données de conformité et signalez les nœuds non conformes.

    5. Status Bucket Name (Statut du compartiment des rapports) : (Facultatif) Entrez le nom d'un compartiment Amazon S3 dans lequel vous voulez écrire les informations de statut d'exécution de fichier MOF. Ces rapports de statut sont des résumés de singleton de la dernière exécution de conformité d'un nœud. Cela signifie que le rapport est remplacé la fois suivante où l'association exécute des fichiers MOF.

      Note

      Vous pouvez préfixer le nom de compartiment avec une région dans laquelle se trouve le compartiment. Voici un exemple : us-west-2:amzn-s3-demo-bucket Si vous utilisez un proxy pour les points de terminaison Amazon S3 dans une région spécifique qui n'inclut pas us-east-1, vous devez préfixer le nom de compartiment avec une région. Si le nom du compartiment n'est pas préfixé, la région du compartiment sera automatiquement découverte à l'aide du point de terminaison us-east-1.

    6. Nom du compartiment source du module : (Facultatif) Entrez le nom d'un compartiment Amazon S3 contenant les fichiers PowerShell du module. Si vous spécifiez None (Aucun), sélectionnez True (Vrai) pour l'option suivante, Allow PS Gallery Module Source (Autoriser la galerie PS comme source de module).

      Note

      Vous pouvez préfixer le nom de compartiment avec une région dans laquelle se trouve le compartiment. Voici un exemple : us-west-2:amzn-s3-demo-bucket Si vous utilisez un proxy pour les points de terminaison Amazon S3 dans une région spécifique qui n'inclut pas us-east-1, vous devez préfixer le nom de compartiment avec une région. Si le nom du compartiment n'est pas préfixé, la région du compartiment sera automatiquement découverte à l'aide du point de terminaison us-east-1.

    7. Autoriser la source du module PS Gallery : (Facultatif) Choisissez True pour télécharger PowerShell les modules depuis https://www.powershellgallery.com/. Si vous choisissez False, spécifiez une source pour l'option précédente, ModuleSourceBucketName.

    8. Proxy Uri (URI du proxy) : (Facultatif) Utilisez cette option pour télécharger les fichiers MOF à partir d'un serveur proxy.

    9. Reboot Behavior (Comportement de redémarrage) : (Facultatif) Spécifiez l'un des comportements de redémarrage suivants si votre exécution de fichier MOF nécessite un redémarrage :

      • AfterMof: Redémarre le nœud une fois toutes les exécutions MOF terminées. Même si plusieurs exécutions de fichier MOF demandent un redémarrage, le système attend que toutes les exécutions de fichier MOF soient terminées pour redémarrer.

      • Immediately (Immédiatement) : redémarre le nœud chaque fois qu'une exécution de fichier MOF le demande. Lors de l'exécution de plusieurs fichiers MOF demandant un redémarrage, le nœud est redémarré plusieurs fois.

      • Never (Jamais) : les nœuds ne sont pas redémarrés, même si l'exécution de fichier MOF demande explicitement un redémarrage.

    10. Use Computer Name For Reporting (Utiliser le nom de l'ordinateur pour les rapports) : (facultatif) activez cette option pour utiliser le nom de l'ordinateur lors de la génération des informations des rapports de conformité. La valeur par défaut est false (faux), qui signifie que le système utilise l'ID de nœud lors de la création des rapports de conformité.

    11. Enable Verbose Logging (Activer la journalisation détaillée) : (facultatif) nous vous recommandons d'activer la journalisation détaillée lors du déploiement de fichiers MOF pour la première fois.

      Important

      Lorsqu'elle est activée, la journalisation détaillée écrit plus de données dans votre compartiment Amazon S3 que la journalisation d'exécution d'association standard. Cela peut entraîner un ralentissement des performances et des frais de stockage plus élevés pour Amazon S3. Pour éviter les problèmes de taille de stockage, nous vous recommandons d'activer des politiques de cycle de vie sur le compartiment Amazon S3. Pour de plus amples informations, consultez Comment créer une politique de cycle de vie pour un compartiment S3 ? dans le Guide de l'utilisateur Amazon Simple Storage Service.

    12. Enable Debug Logging (Activer la journalisation de débogage) : (facultatif) nous vous recommandons d'activer la journalisation de débogage pour résoudre les échecs de fichier MOF. Nous vous recommandons également de désactiver cette option pour une utilisation normale.

      Important

      Lorsqu'elle est activée, la journalisation de débogage écrit plus de données dans votre compartiment Amazon S3 que la journalisation d'exécution d'association standard. Cela peut entraîner un ralentissement des performances et des frais de stockage plus élevés pour Amazon S3. Pour éviter les problèmes de taille de stockage, nous vous recommandons d'activer des politiques de cycle de vie sur le compartiment Amazon S3. Pour de plus amples informations, consultez Comment créer une politique de cycle de vie pour un compartiment S3 ? dans le Guide de l'utilisateur Amazon Simple Storage Service.

    13. Compliance Type (Type de conformité) : (Facultatif) Spécifiez le type de conformité à utiliser pour la génération des rapports d'informations de conformité. Le type de conformité par défaut est Custom:DSC. Si vous créez plusieurs associations qui exécutent des fichiers MOF, assurez-vous de spécifier un type de conformité différent pour chaque association. Sinon, chaque association supplémentaire qui utilise Custom:DSC écrase les données de conformité existantes.

    14. Pre Reboot Script (Script préalable au redémarrage) : (Facultatif) Spécifiez un script à exécuter si la configuration a indiqué qu'un redémarrage était nécessaire. Le script s'exécute avant le redémarrage. Le script doit tenir sur une seule ligne. Séparez les lignes supplémentaires par des points-virgules.

  7. Dans la section Targets (Cibles), sélectionnez Specifying tags (Spécification de balises) ou Manually Selecting Instance (Sélection manuelle des instances). Si vous choisissez de cibler des ressources à l'aide de balises, entrez une clé de balise et une valeur de balise dans les champs fournis. Pour plus d'informations sur l'utilisation des cibles, consultez Comprendre les objectifs et les contrôles de taux dans State Manager associations.

  8. Dans la section Specify schedule (Spécifier le programme), sélectionnez On Schedule (Selon le calendrier) ou No schedule (Pas de calendrier). Si vous sélectionnez On Schedule (Selon le calendrier), utilisez les boutons fournis pour créer un calendrier de type cron ou rate pour l'association.

  9. Dans la section Advanced options (Options avancées) :

    • Dans Compliance severity (Sévérité de conformité), sélectionnez un niveau de sévérité pour l'association. Les rapports de conformité indiquent si l'état de l'association est conforme ou non conforme, ainsi que le niveau de sévérité que vous spécifiez ici. Pour de plus amples informations, veuillez consulter À propos State Manager conformité des associations.

  10. Dans la section Contrôle du débit, configurez les options d'exécution State Manager associations entre les différentes flottes de nœuds gérés. Pour plus d'informations sur ces options, consultez Comprendre les objectifs et les contrôles de taux dans State Manager associations.

    Dans la section Simultanéité, sélectionnez une option :

    • Sélectionnez targets (cibles) pour entrer un nombre absolu de cibles pouvant exécuter l'association simultanément.

    • Sélectionnez percentage (pourcentage) pour saisir un pourcentage de l'ensemble de cibles pouvant exécuter l'association simultanément.

    Dans la section Error threshold (Seuil d'erreurs), sélectionnez une option :

    • Choisissez les erreurs pour saisir le nombre absolu d'erreurs autorisées auparavant State Manager arrête de lancer des associations sur des cibles supplémentaires.

    • Choisissez un pourcentage pour saisir le pourcentage d'erreurs autorisées auparavant State Manager arrête de lancer des associations sur des cibles supplémentaires.

  11. (Facultatif) Dans Output options (Options de sortie), pour enregistrer la sortie de la commande dans un fichier, sélectionnez Enable writing to an S3 bucket (Autoriser l'écriture dans un compartiment S3) Saisissez les noms de compartiment et de préfixe (dossier) dans les zones.

    Note

    Les autorisations S3 qui donnent la possibilité d'écrire les données dans un compartiment S3 sont celles du profil d'instance attribué au nœud géré, et non celles de l'utilisateur IAM qui effectue cette tâche. Pour plus d’informations, consultez les sections Configurer des autorisations d’instance requises pour Systems Manager et Créer un rôle de service IAM pour un environnement hybride. En outre, si le compartiment S3 spécifié se trouve dans un autre compartiment Compte AWS, vérifiez que le profil d'instance ou le rôle de service IAM associé au nœud géré dispose des autorisations nécessaires pour écrire dans ce compartiment.

  12. Sélectionnez Create Association (Créer une association).

State Manager crée et exécute immédiatement l'association sur les nœuds ou cibles spécifiés. Après l'exécution initiale, l'association s'exécute à des intervalles selon le programme que vous avez défini et les règles suivantes :

  • State Manager exécute des associations sur les nœuds qui sont en ligne au début de l'intervalle et ignore les nœuds hors ligne.

  • State Manager tente d'exécuter l'association sur tous les nœuds configurés pendant un intervalle.

  • Si une association n'est pas exécutée pendant un intervalle (parce que, par exemple, une valeur de simultanéité limite le nombre de nœuds susceptibles de traiter l'association en même temps), alors State Manager tente d'exécuter l'association au cours de l'intervalle suivant.

  • State Manager enregistre l'historique de tous les intervalles ignorés. Vous pouvez consulter l'historique dans l'onglet Execution History (Historique d'exécution).

Note

Le AWS-ApplyDSCMofs est un document Command de Systems Manager. Cela signifie que vous pouvez également exécuter ce document en utilisant Run Command, un outil dans AWS Systems Manager. Pour de plus amples informations, veuillez consulter AWS Systems Manager Run Command.

Résolution des problèmes lors de la création d’associations qui exécutent des fichiers MOF

Cette section comprend des informations qui vous aideront à résoudre les problèmes liés à la création d'associations qui exécutent des fichiers MOF.

Activation de la journalisation améliorée

Comme première étape du dépannage, activez la journalisation améliorée. Plus précisément, procédez comme suit :

  1. Vérifiez que l'association est configurée pour écrire la sortie de commande dans Amazon S3 ou Amazon CloudWatch Logs (CloudWatch).

  2. Définissez le paramètre Enable Verbose Logging (Activer la journalisation détaillée) sur True.

  3. Définissez le paramètre Enable Debug Logging (Activer la journalisation de débogage) sur True.

Avec la journalisation détaillée et de débogage activée, le fichier de sortie Stdout comprend plus de détails sur l'exécution du script. Ce fichier de sortie peut vous aider à identifier l'endroit où le script a échoué. Le fichier de sortie Stderr contient les erreurs qui se sont produites au cours de l'exécution du script.

Problèmes courants lors de la création d’associations qui exécutent des fichiers MOF

Cette section inclut des informations sur les problèmes courants qui peuvent se produire lorsque vous créez des associations qui exécutent des fichiers MOF. Il comprend également les étapes permettant de résoudre ces problèmes.

Mon fichier MOF n'a pas été appliqué

If State Manager n'a pas réussi à appliquer l'association à vos nœuds, puis commencez par examiner le fichier de sortie Stderr. Ce fichier peut vous aider à comprendre la cause première du problème. Vérifiez également que les points suivants :

  • Le nœud comporte les autorisations d'accès requises à tous les compartiments Simple Storage Service (Amazon S3) liés aux fichiers MOF. En particulier :

    • s3 : GetObject autorisations : cela est obligatoire pour les fichiers MOF dans les compartiments Amazon S3 privés et les modules personnalisés dans les compartiments Amazon S3.

    • s3 : PutObject autorisation : cela est nécessaire pour écrire des rapports de conformité et l'état de conformité dans les compartiments Amazon S3.

  • Si vous utilisez des identifications, assurez-vous que le nœud dispose des politiques IAM requises. L'utilisation de balises nécessite que le rôle IAM d'instance dispose d'une politique autorisant les actions ec2:DescribeInstances et ssm:ListTagsForResource.

  • Assurez-vous que le nœud dispose des identifications attendues ou des paramètres SSM attribués.

  • Assurez-vous que les balises ou les paramètres SSM sont correctement orthographiés.

  • Essayez d'appliquer le fichier MOF localement sur le nœud pour vous assurer que le problème n'est pas lié au fichier MOF lui-même.

Mon fichier MOF semble avoir échoué, mais l'exécution Systems Manager a réussi

Si le document AWS-ApplyDSCMofs s'est exécuté avec succès, le statut d'exécution Systems Manager affiche Success (Réussite). Ce statut ne reflète pas le statut de conformité de votre nœud par rapport aux exigences de configuration figurant dans le fichier MOF. Pour voir le statut de conformité de vos nœuds, consultez les rapports de conformité. Vous pouvez afficher un rapport JSON dans le compartiment des rapports Amazon S3. Cela s'applique à Run Command and State Manager exécutions. Également, pour State Manager, vous pouvez consulter les détails de conformité sur la page de conformité de Systems Manager.

Stderr spécifie : « Name resolution failure attempting to reach service » (Échec de résolution de nom lors d'une tentative d'accès au service)

Cette erreur indique que le script ne peut pas atteindre un service distant. Il est vraisemblable que le script ne peut pas atteindre Amazon S3. Ce problème se produit le plus souvent lorsque le script tente d'écrire des rapports de conformité ou un statut de conformité dans le compartiment Amazon S3 fourni dans les paramètres du document. En général, cette erreur a lieu lorsqu'un environnement informatique utilise un pare-feu ou un proxy transparent qui inclut une liste d'autorisations. Pour résoudre ce problème :

  • Utilisez la syntaxe de compartiment spécifique à la région pour tous les paramètres de compartiment Amazon S3. Par exemple, le paramètre Mofs To Apply (Fichiers MOF à appliquer) doit être formaté comme suit :

    s3 : bucket-region bucket-name : mof-file-name .mof.

    Voici un exemple : s3:us-west-2:amzn-s3-demo-bucket:my-mof.mof

    Les noms des compartiments de rapport, de statut et de source de module doivent être formatés comme suit :

    bucket-region:bucket-name. Voici un exemple : us-west-1:amzn-s3-demo-bucket;

  • Si la syntaxe spécifique à la Région ne permet pas de résoudre le problème, assurez-vous que le ou les nœuds ciblés peuvent accéder à Simple Storage Service (Amazon S3) dans la Région souhaitée. Pour vérifier ceci :

    1. Recherchez le nom du point de terminaison pour Amazon S3 dans la région Amazon S3 appropriée. Pour plus d'informations, veuillez consulter la rubrique Points de terminaison de service Amazon S3 dans la Référence générale d'Amazon Web Services.

    2. Connectez-vous au nœud cible et exécutez la commande ping suivante.

      ping s3.s3-region.amazonaws.com

      Si le ping a échoué, cela signifie que Simple Storage Service (Amazon S3) est arrêté, qu'un pare-feu/proxy transparent bloque l'accès à la Région Simple Storage Service (Amazon S3), ou que le nœud ne peut pas accéder à Internet.

Affichage des détails de conformité des ressources DSC

Systems Manager capture les informations de conformité sur les défaillances de ressources DSC dans le Status Bucket (Compartiment de statut) Amazon S3 que vous avez spécifié lorsque vous avez exécuté le document AWS-ApplyDSCMofs. La recherche d'informations sur les défaillances de ressources DSC dans un compartiment Amazon S3 peut prendre du temps. Au lieu de cela, vous pouvez consulter ces informations sur la page Compliance (Conformité) de Systems Manager.

La section Récapitulatif des ressources de conformité affiche le nombre de ressources qui ont échoué. Dans l'exemple suivant, il ComplianceTypes'agit de Custom:DSC et une ressource n'est pas conforme.

Note

Custom:DSC est la ComplianceTypevaleur par défaut du document. AWS-ApplyDSCMofs Cette valeur est personnalisable.

Affichage de comptages dans la section Compliance resources summary (Récapitulatif des ressources de conformité) de la page Compliance (Conformité).

La section Vue d'ensemble détaillée des ressources affiche des informations sur la AWS ressource contenant la ressource DSC non conforme. Cette section inclut également le nom MOF, les étapes d'exécution du script et (le cas échéant) un lien View output (Afficher la sortie) pour consulter des informations de statut détaillées.

Affichage des détails de conformité pour une défaillance de ressource d'exécution MOF

Le lien Afficher la sortie affiche les 4 000 derniers caractères du statut détaillé. Systems Manager utilise l'exception comme premier élément, puis analyse les messages détaillés à rebours, et en ajoute le plus possible jusqu'au quota de 4 000 caractères. Ce processus affiche les messages de journal qui ont été générés avant que l'exception soit déclenchée, qui sont les plus pertinents pour la résolution.

Affichage de la sortie détaillée pour un problème de conformité de ressource MOF

Pour de plus amples informations sur la façon d'afficher les informations de conformité, consultez Conformité d'AWS Systems Manager.

Situations qui affectent les rapports de conformité

Si l'icône State Manager l'association échoue, alors aucune donnée de conformité n'est signalée. Plus spécifiquement, si un MOF ne peut pas être traité, Systems Manager ne signale aucun élément de conformité, car les associations échouent. Par exemple, si Systems Manager tente de télécharger un MOF à partir d'un compartiment Simple Storage Service (Amazon S3) auquel le nœud n'est pas autorisé à accéder, l'association échoue et aucune donnée de conformité n'est présentée.

Si une ressource dans un deuxième MOF échoue, Systems Manager génère des donnée de conformité. Par exemple, si un MOF tente de créer un fichier sur un lecteur qui n'existe pas, Systems Manager signale la conformité, car le document AWS-ApplyDSCMofs peut être traité complètement, ce qui signifie que l'association s'exécute avec succès.

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.