Procédure pas à pas : création d'associations qui exécutent MOF des fichiers - AWS Systems Manager
Utilisation d'Amazon S3 pour stocker les artefactsRésolution des informations d'identification dans MOF les fichiersUtilisation de jetons dans MOF des fichiersPrérequisCréation d'une association qui exécute MOF des fichiersRésolution des problèmesAfficher les détails DSC de conformité des ressources

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Procédure pas à pas : création d'associations qui exécutent MOF des fichiers

Vous pouvez exécuter des fichiers Managed Object Format (MOF) pour appliquer l'état souhaité aux nœuds gérés par Windows Server State Manager dotés d'une capacité de AWS Systems Manager, en utilisant le AWS-ApplyDSCMofs SSM document. Le document AWS-ApplyDSCMofs a deux modes d'exécution. Avec le premier mode, vous pouvez configurer l'association pour analyser et signaler si les nœuds gérés sont dans l'état souhaité défini dans les MOF fichiers spécifiés. Dans le second mode, vous pouvez exécuter les MOF fichiers et modifier la configuration de vos nœuds en fonction des ressources et de leurs valeurs définies dans les MOF fichiers. Le AWS-ApplyDSCMofs document vous permet de télécharger et d'exécuter des fichiers de MOF configuration à partir d'Amazon Simple Storage Service (Amazon S3), d'un partage local ou d'un site Web sécurisé avec HTTPS un domaine.

State Managerenregistre et rapporte l'état de chaque exécution de MOF fichier lors de chaque exécution d'association. State Managerrapporte également le résultat de chaque exécution de MOF fichier sous la forme d'un événement de conformité que vous pouvez consulter sur la page AWS Systems Manager Conformité.

MOFl'exécution du fichier est basée sur la configuration d'état PowerShell souhaitée de Windows (PowerShell DSC). PowerShell DSCest une plate-forme déclarative utilisée pour la configuration, le déploiement et la gestion des systèmes Windows. PowerShell DSCpermet aux administrateurs de décrire, dans de simples documents texte appelés DSC configurations, comment ils souhaitent qu'un serveur soit configuré. Une PowerShell DSC configuration est un PowerShell script spécialisé qui indique ce qu'il faut faire, mais pas comment le faire. L'exécution de la configuration produit un MOF fichier. Le MOF fichier peut être appliqué à un ou plusieurs serveurs afin d'obtenir la configuration souhaitée pour ces serveurs. PowerShell DSCles ressources font le travail réel d'application de la configuration. Pour plus d'informations, voir Présentation de la configuration de l'état PowerShell souhaité de Windows.

Utilisation d'Amazon S3 pour stocker les artefacts

Si vous utilisez Amazon S3 pour stocker des PowerShell modules, des MOF fichiers, des rapports de conformité ou des rapports d'état, le rôle AWS Identity and Access Management (IAM) utilisé par AWS Systems Manager SSM Agent doit avoir GetObject des ListBucket autorisations sur le compartiment. Si vous ne fournissez pas ces autorisations, le système renvoie une erreur Accès refusé. Voici des informations importantes sur le stockage d'artefacts dans Amazon S3.

  • Si le compartiment se trouve dans un autre compartiment Compte AWS, créez une politique de ressources du compartiment qui accorde le compte (ou le IAM rôle) GetObject et ListBucket les autorisations.

  • Si vous souhaitez utiliser DSC des ressources personnalisées, vous pouvez les télécharger depuis un compartiment Amazon S3. Vous pouvez également les installer automatiquement depuis la PowerShell galerie.

  • Si vous utilisez Amazon S3 comme source de module, téléchargez le module sous forme de fichier Zip au format majuscules/minuscules suivant : ModuleName_ModuleVersion.zip. Par exemple : MyModule _1.0.0.zip.

  • Tous les fichiers doivent se trouver dans le compartiment racine. Les structures de dossier ne sont pas prises en charge.

Résolution des informations d'identification dans MOF les fichiers

Les informations d'identification sont résolues en utilisant AWS Secrets Manager ou AWS Systems Manager Parameter Store. Cela vous permet de configurer la rotation automatique des informations d'identification. Cela permet également de DSC propager automatiquement les informations d'identification à vos serveurs sans les MOFs redéployer.

Pour utiliser un AWS Secrets Manager secret dans une configuration, créez un PSCredential objet dans lequel le nom d'utilisateur est le secret SecretId ou le secret ARN du secret contenant les informations d'identification. Vous pouvez spécifier n'importe quelle valeur pour le mot de passe. La valeur est ignorée. Voici un exemple.

Configuration MyConfig
{
   $ss = ConvertTo-SecureString -String 'a_string' -AsPlaintext -Force
   $credential = New-Object PSCredential('a_secret_or_ARN', $ss)

    Node localhost
    {
       File file_name
       {
           DestinationPath = 'C:\MyFile.txt'
           SourcePath = '\\FileServer\Share\MyFile.txt'
           Credential = $credential
       }
    }
}

Compilez votre MOF fichier en utilisant le PsAllowPlaintextPassword paramètre des données de configuration. Cette opération ne pose pas de problème, car les informations d'identification contiennent uniquement une étiquette.

Dans Secrets Manager, assurez-vous que le nœud GetSecretValue y a accès dans le cadre d'une politique IAM gérée, et éventuellement dans la politique de ressources secrètes, s'il en existe une. Pour fonctionner avecDSC, le secret doit être au format suivant.

{ 'Username': 'a_name', 'Password': 'a_password' }

Le secret peut avoir d'autres propriétés (par exemple, des propriétés utilisées pour la rotation), mais il doit comporter au moins le nom d'utilisateur et le mot de passe.

Nous vous recommandons d'utiliser une méthode de rotation multi-utilisateurs, dans laquelle vous avez deux noms d'utilisateur et mots de passe différents, et la AWS Lambda fonction de rotation alterne entre eux. Cette méthode vous permet d'avoir plusieurs comptes actifs tout en éliminant le risque de bloquer un utilisateur pendant la rotation.

Utilisation de jetons dans MOF des fichiers

Les jetons vous permettent de modifier les valeurs des propriétés des ressources MOF une fois celles-ci compilées. Cela vous permet de réutiliser MOF des fichiers courants sur plusieurs serveurs nécessitant des configurations similaires.

La substitution de jeton ne fonctionne que pour les propriétés de ressource de type String. Toutefois, si votre ressource possède une propriété de CIM nœud imbriquée, elle résout également les jetons provenant des String propriétés de ce CIM nœud. Vous ne pouvez pas utiliser la substitution de jeton pour des nombres ou des tableaux.

Par exemple, imaginez un scénario dans lequel vous utilisez la xComputerManagement ressource et que vous souhaitez renommer l'ordinateur en utilisantDSC. Normalement, vous aurez besoin d'un MOF fichier dédié pour cette machine. Cependant, avec le support des jetons, vous pouvez créer un seul MOF fichier et l'appliquer à tous vos nœuds. Dans la ComputerName propriété, au lieu de coder en dur le nom de l'ordinateur dans leMOF, vous pouvez utiliser un jeton de type Instance Tag. La valeur est résolue lors de l'MOFanalyse. Consultez l'exemple suivant.

Configuration MyConfig
{
    xComputer Computer
    {
        ComputerName = '{tag:ComputerName}'
    }
}

Vous définissez ensuite une balise soit sur le nœud géré dans la console Systems Manager, soit sur une balise Amazon Elastic Compute Cloud (AmazonEC2) dans la EC2 console Amazon. Lorsque vous exécutez le document, le script remplace le jeton {tag :ComputerName} par la valeur de la balise d'instance.

Vous pouvez également combiner plusieurs balises dans une seule propriété, tel qu'illustré dans l'exemple suivant :

Configuration MyConfig
{
    File MyFile
    {
        DestinationPath = '{env:TMP}\{tag:ComputerName}'
        Type = 'Directory'
    }
}

Vous pouvez utiliser cinq types de jetons différents :

  • tag : Amazon EC2 ou tags de nœuds gérés.

  • tagb64 : Identique à tag, mais le système utilise base64 pour décoder la valeur. Cela vous permet d'utiliser des caractères spéciaux dans des valeurs de balise.

  • env : Résout des variables d'environnement.

  • ssm : valeurs Parameter Store. Seuls les types String et Secure String sont pris en charge.

  • tagssm : identique à tag, mais si l'identification n'est pas définie sur le nœud, le système tente de résoudre la valeur à partir d'un paramètre Systems Manager avec le même nom. Cela s'avère utile dans des situations où vous souhaitez disposer d'une « valeur globale par défaut », mais pouvoir la remplacer sur un seul nœud (par exemple, pour des déploiements « one-box »).

Voici un exemple Parameter Store qui utilise le type de jeton ssm. 

File MyFile
{
    DestinationPath = "C:\ProgramData\ConnectionData.txt"
    Content = "{ssm:%servicePath%/ConnectionData}"
}

Les jetons jouent un rôle important dans la réduction du code redondant en rendant MOF les fichiers génériques et réutilisables. Si vous pouvez éviter les MOF fichiers spécifiques au serveur, aucun service de MOF construction n'est nécessaire. Un service de MOF création augmente les coûts, ralentit le temps de provisionnement et augmente le risque de dérive de configuration entre les nœuds groupés en raison des différentes versions des modules installées sur le serveur de génération lors de leur MOFs compilation.

Prérequis

Avant de créer une association qui exécute MOF des fichiers, vérifiez que les conditions requises suivantes sont installées sur vos nœuds gérés :

Création d'une association qui exécute MOF des fichiers

Pour créer une association qui exécute MOF des fichiers

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez State Manager.

  3. Sélectionnez State Manager, puis Create association (Créer une association).

  4. Dans le champ Nom, spécifiez un nom. Cette action est facultative, mais recommandée. Un nom peut vous aider à comprendre quel était l'objectif de l'association quand vous avez créée celle-ci. Les espaces ne sont pas autorisés dans le nom.

  5. Dans la liste Document, sélectionnez AWS-ApplyDSCMofs.

  6. Dans la section Parameters (Paramètres), spécifiez vos choix pour les paramètres d'entrée obligatoires et facultatifs.

    1. Mofs à appliquer : Spécifiez un ou plusieurs MOF fichiers à exécuter lors de l'exécution de cette association. Utilisez des virgules pour séparer une liste de MOF fichiers. Vous pouvez définir les options suivantes pour localiser MOF le fichier.

      • Nom de compartiment Amazon S3. Les noms de compartiment doivent utiliser des lettres minuscules. Spécifiez cette information à l'aide du format suivant.

        s3:amzn-s3-demo-bucket:MOF_file_name.mof

        Si vous souhaitez spécifier un Région AWS, utilisez le format suivant.

        s3:bucket_Region:amzn-s3-demo-bucket:MOF_file_name.mof

      • Un site web sécurisé. Spécifiez cette information à l'aide du format suivant.

        https://domain_name/MOF_file_name.mof

        Voici un exemple.

        https://www.example.com/TestMOF.mof

      • Un système de fichiers sur un partage local. Spécifiez cette information à l'aide du format suivant.

        \server_name\shared_folder_name\MOF_file_name.mof

        Voici un exemple.

        \StateManagerAssociationsBox\MOFs_folder\MyMof.mof

    2. Service Path (Chemin d'accès au service) : (Facultatif) Un chemin d'accès au service est un préfixe d'un compartiment Amazon S3 dans lequel vous voulez écrire des rapports et des informations de statut. Ou, un chemin d'accès au service est un chemin pour des balises basées sur des paramètres Parameter Store. Lors de la résolution de balises basées sur des paramètres, le système utilise {ssm : % %/ servicePathparameter_name} pour injecter la servicePath valeur dans le nom du paramètre. Par exemple, si le chemin de votre service est « WebServers /Production », le système résout le paramètre comme suit : WebServers /Production/parameter_name. Cela est utile lorsque vous exécutez plusieurs environnements sur le même compte.

    3. Report Bucket Name (Nom du compartiment des rapports) : (Facultatif) Saisissez le nom d'un compartiment Amazon S3 dans lequel vous voulez écrire les données de conformité. Les rapports sont enregistrés dans ce compartiment sous JSON format.

      Note

      Vous pouvez préfixer le nom de compartiment avec une région dans laquelle se trouve le compartiment. Voici un exemple : yMOFBucket US-West-2:M. Si vous utilisez un proxy pour les points de terminaison Amazon S3 dans une région spécifique qui n'inclut pas us-east-1, vous devez préfixer le nom de compartiment avec une région. Si le nom du compartiment n'est pas préfixé, la région du compartiment sera automatiquement découverte à l'aide du point de terminaison us-east-1.

    4. Mof Operation Mode (Mode d'opération MOF) : sélectionnez le comportement State Manager lors de l'exécution de l'association AWS-ApplyDSCMofs :

      • Apply (Appliquer) : corriger les configurations de nœuds qui ne sont pas conformes.

      • ReportOnly: ne corrigez pas les configurations des nœuds, mais enregistrez toutes les données de conformité et signalez les nœuds non conformes.

    5. Nom du compartiment d'état : (Facultatif) Entrez le nom d'un compartiment Amazon S3 dans lequel vous souhaitez écrire les informations MOF d'état d'exécution. Ces rapports de statut sont des résumés de singleton de la dernière exécution de conformité d'un nœud. Cela signifie que le rapport sera remplacé la prochaine fois que l'association exécutera MOF des fichiers.

      Note

      Vous pouvez préfixer le nom de compartiment avec une région dans laquelle se trouve le compartiment. Voici un exemple : us-west-2:amzn-s3-demo-bucket Si vous utilisez un proxy pour les points de terminaison Amazon S3 dans une région spécifique qui n'inclut pas us-east-1, vous devez préfixer le nom de compartiment avec une région. Si le nom du compartiment n'est pas préfixé, la région du compartiment sera automatiquement découverte à l'aide du point de terminaison us-east-1.

    6. Nom du compartiment source du module : (Facultatif) Entrez le nom d'un compartiment Amazon S3 contenant les fichiers PowerShell du module. Si vous spécifiez None (Aucun), sélectionnez True (Vrai) pour l'option suivante, Allow PS Gallery Module Source (Autoriser la galerie PS comme source de module).

      Note

      Vous pouvez préfixer le nom de compartiment avec une région dans laquelle se trouve le compartiment. Voici un exemple : us-west-2:amzn-s3-demo-bucket Si vous utilisez un proxy pour les points de terminaison Amazon S3 dans une région spécifique qui n'inclut pas us-east-1, vous devez préfixer le nom de compartiment avec une région. Si le nom du compartiment n'est pas préfixé, la région du compartiment sera automatiquement découverte à l'aide du point de terminaison us-east-1.

    7. Autoriser la source du module PS Gallery : (Facultatif) Choisissez True pour télécharger PowerShell les modules depuis https://www.powershellgallery.com/. Si vous choisissez False, spécifiez une source pour l'option précédente, ModuleSourceBucketName.

    8. Uri du proxy : (Facultatif) Utilisez cette option pour télécharger MOF des fichiers depuis un serveur proxy.

    9. Comportement de redémarrage : (Facultatif) Spécifiez l'un des comportements de redémarrage suivants si l'exécution de votre MOF fichier nécessite un redémarrage :

      • AfterMof: redémarre le nœud une fois toutes les MOF exécutions terminées. Même si plusieurs MOF exécutions demandent un redémarrage, le système attend que toutes les MOF exécutions soient terminées pour redémarrer.

      • Immédiatement : redémarre le nœud chaque fois qu'une MOF exécution le demande. Si vous exécutez plusieurs MOF fichiers qui demandent un redémarrage, les nœuds sont redémarrés plusieurs fois.

      • Jamais : les nœuds ne sont pas redémarrés, même si l'MOFexécution demande explicitement un redémarrage.

    10. Use Computer Name For Reporting (Utiliser le nom de l'ordinateur pour les rapports) : (facultatif) activez cette option pour utiliser le nom de l'ordinateur lors de la génération des informations des rapports de conformité. La valeur par défaut est false (faux), qui signifie que le système utilise l'ID de nœud lors de la création des rapports de conformité.

    11. Activer la journalisation détaillée : (Facultatif) Nous vous recommandons d'activer la journalisation détaillée lorsque vous déployez des MOF fichiers pour la première fois.

      Important

      Lorsqu'elle est activée, la journalisation détaillée écrit plus de données dans votre compartiment Amazon S3 que la journalisation d'exécution d'association standard. Cela peut entraîner un ralentissement des performances et des frais de stockage plus élevés pour Amazon S3. Pour éviter les problèmes de taille de stockage, nous vous recommandons d'activer des politiques de cycle de vie sur le compartiment Amazon S3. Pour de plus amples informations, consultez Comment créer une politique de cycle de vie pour un compartiment S3 ? dans le Guide de l'utilisateur Amazon Simple Storage Service.

    12. Activer la journalisation du débogage : (Facultatif) Nous vous recommandons d'activer la journalisation du débogage pour résoudre les problèmesMOF. Nous vous recommandons également de désactiver cette option pour une utilisation normale.

      Important

      Lorsqu'elle est activée, la journalisation de débogage écrit plus de données dans votre compartiment Amazon S3 que la journalisation d'exécution d'association standard. Cela peut entraîner un ralentissement des performances et des frais de stockage plus élevés pour Amazon S3. Pour éviter les problèmes de taille de stockage, nous vous recommandons d'activer des politiques de cycle de vie sur le compartiment Amazon S3. Pour de plus amples informations, consultez Comment créer une politique de cycle de vie pour un compartiment S3 ? dans le Guide de l'utilisateur Amazon Simple Storage Service.

    13. Compliance Type (Type de conformité) : (Facultatif) Spécifiez le type de conformité à utiliser pour la génération des rapports d'informations de conformité. Le type de conformité par défaut est Personnalisé : DSC. Si vous créez plusieurs associations qui exécutent MOF des fichiers, veillez à spécifier un type de conformité différent pour chaque association. Si ce n'est pas le cas, chaque association supplémentaire utilisant Custom : DSC remplace les données de conformité existantes.

    14. Pre Reboot Script (Script préalable au redémarrage) : (Facultatif) Spécifiez un script à exécuter si la configuration a indiqué qu'un redémarrage était nécessaire. Le script s'exécute avant le redémarrage. Le script doit tenir sur une seule ligne. Séparez les lignes supplémentaires par des points-virgules.

  7. Dans la section Targets (Cibles), sélectionnez Specifying tags (Spécification de balises) ou Manually Selecting Instance (Sélection manuelle des instances). Si vous choisissez de cibler des ressources à l'aide de balises, entrez une clé de balise et une valeur de balise dans les champs fournis. Pour plus d'informations sur l'utilisation des cibles, consultez À propos des cibles et des contrôles du débit dans les associations State Manager.

  8. Dans la section Specify schedule (Spécifier le programme), sélectionnez On Schedule (Selon le calendrier) ou No schedule (Pas de calendrier). Si vous sélectionnez On Schedule (Selon le calendrier), utilisez les boutons fournis pour créer un calendrier de type cron ou rate pour l'association.

  9. Dans la section Advanced options (Options avancées) :

    • Dans Compliance severity (Sévérité de conformité), sélectionnez un niveau de sévérité pour l'association. Les rapports de conformité indiquent si l'état de l'association est conforme ou non conforme, ainsi que le niveau de sévérité que vous spécifiez ici. Pour de plus amples informations, veuillez consulter A propos de la conformité des associations State Manager.

  10. Dans la section Rate control (Contrôle de taux), configurez des options pour l'exécution d'associations State Manager dans un parc de nœuds gérés. Pour plus d'informations sur ces options, consultez À propos des cibles et des contrôles du débit dans les associations State Manager.

    Dans la section Simultanéité, sélectionnez une option :

    • Sélectionnez targets (cibles) pour entrer un nombre absolu de cibles pouvant exécuter l'association simultanément.

    • Sélectionnez percentage (pourcentage) pour saisir un pourcentage de l'ensemble de cibles pouvant exécuter l'association simultanément.

    Dans la section Error threshold (Seuil d'erreurs), sélectionnez une option :

    • Sélectionnez errors (erreurs) pour saisir un nombre absolu d'erreurs autorisées avant que State Manager cesse de d'exécuter des associations sur des cibles supplémentaires.

    • Sélectionnez percentage (pourcentage) pour saisir un pourcentage d'erreurs autorisées avant que State Manager cesse de d'exécuter des associations sur des cibles supplémentaires.

  11. (Facultatif) Dans Output options (Options de sortie), pour enregistrer la sortie de la commande dans un fichier, sélectionnez Enable writing to an S3 bucket (Autoriser l'écriture dans un compartiment S3) Saisissez les noms de compartiment et de préfixe (dossier) dans les zones.

    Note

    Les autorisations S3 qui permettent d'écrire les données dans un compartiment S3 sont celles du profil d'instance attribué au nœud géré, et non celles de l'IAMutilisateur effectuant cette tâche. Pour plus d'informations, consultez Configurer les autorisations d'instance requises pour Systems Manager ou Créer un rôle de IAM service pour un environnement hybride. En outre, si le compartiment S3 spécifié se trouve dans un autre compartiment Compte AWS, vérifiez que le profil d'instance ou le rôle de IAM service associé au nœud géré dispose des autorisations nécessaires pour écrire dans ce compartiment.

  12. Sélectionnez Create Association (Créer une association).

State Manager crée et exécute immédiatement l'association sur les cibles spécifiées. Après l'exécution initiale, l'association s'exécute à des intervalles selon le programme que vous avez défini et les règles suivantes :

  • State Manager exécute des associations sur les nœuds qui sont en ligne lorsque l'intervalle commence, et ignore les nœuds hors ligne.

  • State Manager tente d'exécuter l'association sur tous les nœuds configurés au cours d'un intervalle.

  • Si une association n'est pas exécutée au cours d'un intervalle (par exemple, parce qu'une valeur de simultanéité a limité par le nombre de nœuds pouvant traiter l'association simultanément), State Manager tente d'exécuter l'association lors du prochain intervalle.

  • State Manager enregistre un historique pour tous les intervalles ignorés. Vous pouvez consulter l'historique dans l'onglet Execution History (Historique d'exécution).

Note

Le AWS-ApplyDSCMofs est un document Command de Systems Manager. Cela signifie que vous pouvez également exécuter ce document en utilisant Run Command, une des fonctionnalités de AWS Systems Manager. Pour de plus amples informations, veuillez consulter AWS Systems Manager Run Command.

Résolution des problèmes

Cette section contient des informations qui vous aideront à résoudre les problèmes liés à la création d'associations qui exécutent MOF des fichiers.

Activation de la journalisation améliorée

Comme première étape du dépannage, activez la journalisation améliorée. Plus précisément, procédez comme suit :

  1. Vérifiez que l'association est configurée pour écrire la sortie de commande dans Amazon S3 ou Amazon CloudWatch Logs (CloudWatch).

  2. Définissez le paramètre Enable Verbose Logging (Activer la journalisation détaillée) sur True.

  3. Définissez le paramètre Enable Debug Logging (Activer la journalisation de débogage) sur True.

Avec la journalisation détaillée et de débogage activée, le fichier de sortie Stdout comprend plus de détails sur l'exécution du script. Ce fichier de sortie peut vous aider à identifier l'endroit où le script a échoué. Le fichier de sortie Stderr contient les erreurs qui se sont produites au cours de l'exécution du script.

Problèmes courants

Cette section contient des informations sur les problèmes courants qui peuvent survenir lors de la création d'associations qui exécutent MOF des fichiers, ainsi que les étapes à suivre pour les résoudre.

Mon nom MOF n'a pas été appliqué

Si State Manager n'a pas pu appliquer l'association à vos nœuds, commencez par vérifier fichier de sortie Stderr. Ce fichier peut vous aider à comprendre la cause première du problème. Vérifiez également que les points suivants :

  • Le nœud dispose des autorisations d'accès requises à tous MOF les compartiments Amazon S3 associés. En particulier :

    • s3 : GetObject autorisations : cela est obligatoire pour MOF les fichiers dans des compartiments Amazon S3 privés et pour les modules personnalisés dans des compartiments Amazon S3.

    • s3 : PutObject autorisation : cela est nécessaire pour écrire des rapports de conformité et l'état de conformité dans les compartiments Amazon S3.

  • Si vous utilisez des balises, assurez-vous que le nœud dispose de la IAM politique requise. L'utilisation de balises nécessite que le IAM rôle d'instance dispose d'une politique autorisant les ssm:ListTagsForResource actions ec2:DescribeInstances et.

  • Assurez-vous que les balises ou SSM paramètres attendus sont assignés au nœud.

  • Assurez-vous que les balises ou les SSM paramètres ne sont pas mal orthographiés.

  • Essayez de l'appliquer MOF localement sur le nœud pour vous assurer qu'il n'y a aucun problème avec le MOF fichier lui-même.

Cela MOF a semblé échouer, mais l'exécution de Systems Manager a réussi

Si le document AWS-ApplyDSCMofs s'est exécuté avec succès, le statut d'exécution Systems Manager affiche Success (Réussite). Ce statut ne reflète pas l'état de conformité de votre nœud par rapport aux exigences de configuration du MOF fichier. Pour voir le statut de conformité de vos nœuds, consultez les rapports de conformité. Vous pouvez consulter un JSON rapport dans le compartiment de rapports Amazon S3. Cela s'applique aux exécutions Run Command et State Manager. En outre, pour State Manager, vous pouvez afficher les détails de conformité sur la page de conformité Systems Manager.

Stderr spécifie : « Name resolution failure attempting to reach service » (Échec de résolution de nom lors d'une tentative d'accès au service)

Cette erreur indique que le script ne peut pas atteindre un service distant. Il est vraisemblable que le script ne peut pas atteindre Amazon S3. Ce problème se produit le plus souvent lorsque le script tente d'écrire des rapports de conformité ou un statut de conformité dans le compartiment Amazon S3 fourni dans les paramètres du document. En général, cette erreur a lieu lorsqu'un environnement informatique utilise un pare-feu ou un proxy transparent qui inclut une liste d'autorisations. Pour résoudre ce problème :

  • Utilisez la syntaxe de compartiment spécifique à la région pour tous les paramètres de compartiment Amazon S3. Par exemple, le paramètre Mofs To Apply (Fichiers MOF à appliquer) doit être formaté comme suit :

    s3 :bucket-region:bucket-name:mof-file-name.mof.

    Voici un exemple : s3:us-west-2:amzn-s3-demo-bucket:my-mof.mof

    Les noms des compartiments de rapport, de statut et de source de module doivent être formatés comme suit :

    bucket-region:bucket-name. Voici un exemple : us-west-1:amzn-s3-demo-bucket;

  • Si la syntaxe spécifique à la Région ne permet pas de résoudre le problème, assurez-vous que le ou les nœuds ciblés peuvent accéder à Simple Storage Service (Amazon S3) dans la Région souhaitée. Pour vérifier ceci :

    1. Recherchez le nom du point de terminaison pour Amazon S3 dans la région Amazon S3 appropriée. Pour plus d'informations, veuillez consulter la rubrique Points de terminaison de service Amazon S3 dans la Référence générale d'Amazon Web Services.

    2. Connectez-vous au nœud cible et exécutez la commande ping suivante.

      ping s3.s3-region.amazonaws.com

      Si le ping a échoué, cela signifie que Simple Storage Service (Amazon S3) est arrêté, qu'un pare-feu/proxy transparent bloque l'accès à la Région Simple Storage Service (Amazon S3), ou que le nœud ne peut pas accéder à Internet.

Afficher les détails DSC de conformité des ressources

Systems Manager capture les informations de conformité relatives aux défaillances de DSC ressources dans le compartiment de statut Amazon S3 que vous avez spécifié lors de l'exécution du AWS-ApplyDSCMofs document. La recherche d'informations sur les défaillances de DSC ressources dans un compartiment Amazon S3 peut prendre beaucoup de temps. Au lieu de cela, vous pouvez consulter ces informations sur la page Compliance (Conformité) de Systems Manager.

La section Récapitulatif des ressources de conformité affiche le nombre de ressources qui ont échoué. Dans l'exemple suivant, il ComplianceTypes'agit de Custom : DSC et une ressource n'est pas conforme.

Note

Personnalisé : DSC est la ComplianceTypevaleur par défaut du AWS-ApplyDSCMofs document. Cette valeur est personnalisable.

Affichage de comptages dans la section Compliance resources summary (Récapitulatif des ressources de conformité) de la page Compliance (Conformité).

La section Vue d'ensemble détaillée des ressources affiche des informations sur la AWS ressource présentant la DSC ressource non conforme. Cette section inclut également le MOF nom, les étapes d'exécution du script et (le cas échéant) un lien Afficher la sortie pour afficher des informations d'état détaillées.

Afficher les détails de conformité en cas de défaillance MOF d'une ressource d'exécution

Le lien Afficher la sortie affiche les 4 000 derniers caractères du statut détaillé. Systems Manager utilise l'exception comme premier élément, puis analyse les messages détaillés à rebours, et en ajoute le plus possible jusqu'au quota de 4 000 caractères. Ce processus affiche les messages de journal qui ont été générés avant que l'exception soit déclenchée, qui sont les plus pertinents pour la résolution.

Affichage d'une sortie détaillée en cas de problème de conformité des MOF ressources

Pour de plus amples informations sur la façon d'afficher les informations de conformité, consultez Conformité d'AWS Systems Manager.

Situations qui affectent les rapports de conformité

Si l'association State Manager échoue, aucune donnée de conformité n'est présentée. Plus précisément, en cas d'MOFéchec du traitement, Systems Manager ne signale aucun élément de conformité car les associations échouent. Par exemple, si Systems Manager tente de télécharger un fichier MOF depuis un compartiment Amazon S3 auquel le nœud n'est pas autorisé à accéder, l'association échoue et aucune donnée de conformité n'est signalée.

Si une ressource tombe en MOF panne en une seconde, Systems Manager communique les données de conformité. Par exemple, si un MOF essaie de créer un fichier sur un lecteur qui n'existe pas, Systems Manager indique que le AWS-ApplyDSCMofs document est conforme car le document peut être traité dans son intégralité, ce qui signifie que l'association s'exécute correctement.