Cara menginstal SSM Agent pada Windows node hybrid - AWS Systems Manager
Mengatur rotasi otomatis kunci privatDeregister dan registrasi ulang node terkelola

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara menginstal SSM Agent pada Windows node hybrid

Topik ini menjelaskan cara menginstal SSM Agent pada Windows Server mesin untuk lingkungan hybrid dan multicloud. Jika Anda berencana untuk menggunakan mesin Linux non-EC2 di lingkungan hybrid dan multicloud, lihat langkah sebelumnya. Cara menginstal SSM Agent pada node Linux hybrid

penting

Prosedur ini adalah mesin non-EC2 (Amazon Elastic Compute Cloud) di lingkungan hybrid dan multicloud. Untuk mengunduh dan menginstal SSM Agent pada instans EC2Windows Server, lihatMenginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk Windows Server.

Sebelum Anda mulai, cari Kode Aktivasi dan ID Aktivasi yang dikirimkan kepada Anda setelah Anda menyelesaikan aktivasi hibrida sebelumnyaBuat aktivasi hybrid untuk mendaftarkan node dengan Systems Manager. Anda menentukan kode dan ID dalam prosedur berikut.

Untuk menginstal SSM Agent pada Windows Server mesin non-EC2 di lingkungan hybrid dan multicloud

  1. Masuk ke server atau VM di lingkungan hybrid dan multicloud Anda.

  2. Jika Anda menggunakan proxy HTTP atau HTTPS, Anda harus mengatur http_proxy atau variabel lingkungan https_proxy di sesi shell saat ini. Jika Anda tidak menggunakan proxy, Anda dapat melewati langkah ini.

    Untuk server proxy HTTP, atur variabel ini:

    http_proxy=http://hostname:port
https_proxy=http://hostname:port

    Untuk server proksi HTTPS, atur variabel ini:

    http_proxy=http://hostname:port
https_proxy=https://hostname:port

  3. Buka Windows PowerShell dalam mode tinggi (administratif).

  4. Salin dan tempel blok perintah berikut ke dalamWindows PowerShell. Ganti setiap placeholder sumber daya contoh dengan informasi Anda sendiri. Misalnya, Kode Aktivasi dan ID Aktivasi dihasilkan saat Anda membuat aktivasi hibrida, dan dengan pengenal yang ingin Wilayah AWS Anda unduhSSM Agent.

    catatan

    Perhatikan detail penting berikut ini:

    • ssm-setup-climendukung manifest-url opsi yang menentukan sumber dari mana agen diunduh. Jangan tentukan nilai untuk opsi ini kecuali diperlukan oleh organisasi Anda.

    • Anda dapat menggunakan skrip yang disediakan di sini untuk memvalidasi tanda tangan. ssm-setup-cli

    • Saat mendaftarkan instance, hanya gunakan tautan unduhan yang disediakanssm-setup-cli. ssm-setup-cliseharusnya tidak disimpan secara terpisah untuk penggunaan di masa mendatang.

    wilayah mewakili pengenal untuk Wilayah AWS didukung oleh AWS Systems Manager, seperti us-east-2 untuk Wilayah Timur AS (Ohio). Untuk daftar nilai wilayah yang didukung, lihat kolom Region di titik akhir layanan Systems Manager di Referensi Umum Amazon Web Services.

    Selain itu, ssm-setup-cli termasuk opsi berikut:

    • version- Nilai yang valid adalah latest danstable.

    • downgrade- Mengembalikan agen ke versi sebelumnya.

    • skip-signature-validation- Melewatkan validasi tanda tangan selama pengunduhan dan pemasangan agen.

    64-bit
    [System.Net.ServicePointManager]::SecurityProtocol = 'TLS12'
$code = "activation-code"
$id = "activation-id"
$region = "us-east-1"
$dir = $env:TEMP + "\ssm"
New-Item -ItemType directory -Path $dir -Force
cd $dir
(New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_amd64/ssm-setup-cli.exe", $dir + "\ssm-setup-cli.exe")
./ssm-setup-cli.exe -register -activation-code="$code" -activation-id="$id" -region="$region"
Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration")
Get-Service -Name "AmazonSSMAgent"
    32-bit
    "[System.Net.ServicePointManager]::SecurityProtocol = 'TLS12'"
$code = "activation-code"
$id = "activation-id"
$region = "us-east-1"
$dir = $env:TEMP + "\ssm"
New-Item -ItemType directory -Path $dir -Force
cd $dir
(New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_386/ssm-setup-cli.exe", $dir + "\ssm-setup-cli.exe")
./ssm-setup-cli.exe -register -activation-code="$code" -activation-id="$id" -region="$region"
Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration")
Get-Service -Name "AmazonSSMAgent"

  5. Tekan Enter.

catatan

Jika perintah gagal, verifikasi bahwa Anda menjalankan versi terbaru AWS Tools for PowerShell.

Perintah ini melakukan hal berikut:

  • Mengunduh dan menginstal SSM Agent ke mesin.

  • Mendaftarkan mesin dengan layanan Systems Manager.

  • Mengembalikan tanggapan yang serupa dengan yang berikut: 

        Directory: C:\Users\ADMINI~1\AppData\Local\Temp\2


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
d-----       07/07/2018   8:07 PM                ssm
{"ManagedInstanceID":"mi-008d36be46EXAMPLE","Region":"us-east-2"}

Status      : Running
Name        : AmazonSSMAgent
DisplayName : Amazon SSM Agent

Mesin sekarang menjadi node terkelola. Node terkelola ini sekarang diidentifikasi dengan awalan “mi-”. Anda dapat melihat node terkelola pada halaman Managed node diFleet Manager, dengan menggunakan AWS CLI perintah describe-instance-information, atau dengan menggunakan perintah API DescribeInstanceInformation.

Mengatur rotasi otomatis kunci privat

Untuk memperkuat postur keamanan Anda, Anda dapat mengonfigurasi AWS Systems Manager Agent (SSM Agent) untuk secara otomatis memutar kunci pribadi untuk lingkungan hybrid dan multicloud. Anda dapat mengakses fitur ini menggunakan SSM Agent versi 3.0.1031.0 atau yang lebih baru. Hidupkan fitur ini menggunakan prosedur berikut.

Untuk mengkonfigurasi SSM Agent untuk memutar kunci pribadi untuk lingkungan hybrid dan multicloud

  1. Arahkan ke /etc/amazon/ssm/ pada mesin Linux atau C:\Program Files\Amazon\SSM untuk Windows Server mesin.

  2. Salin isi amazon-ssm-agent.json.template ke file baru yang bernama amazon-ssm-agent.json. Simpan amazon-ssm-agent.json di direktori yang sama dimana dengan lokasi amazon-ssm-agent.json.template.

  3. Cari Profile, KeyAutoRotateDays. Masukkan jumlah hari yang Anda inginkan antara rotasi kunci privat otomatis.

  4. Mulai ulang SSM Agent.

Setiap kali Anda mengubah konfigurasi, restartSSM Agent.

Anda dapat menyesuaikan fitur lain SSM Agent menggunakan prosedur yang sama. Untuk up-to-date daftar properti konfigurasi yang tersedia dan nilai defaultnya, lihat Config Property Definitions.

Deregister dan registrasi ulang node terkelola

Anda dapat membatalkan pendaftaran node terkelola dengan memanggil operasi API DeregisterManagedInstance dari AWS CLI atau Tools for Windows. PowerShell Berikut ini adalah contoh perintah CLI:

aws ssm deregister-managed-instance --instance-id "mi-1234567890"

Untuk menghapus informasi pendaftaran yang tersisa untuk agen, hapus IdentityConsumptionOrder kunci dalam amazon-ssm-agent.json file. Kemudian jalankan perintah berikut:

amazon-ssm-agent -register -clear

Anda dapat mendaftarkan ulang mesin setelah Anda membatalkan pendaftarannya. Gunakan prosedur berikut untuk mendaftarkan ulang mesin sebagai node terkelola. Setelah Anda menyelesaikan prosedur, node terkelola Anda ditampilkan lagi dalam daftar node terkelola.

Untuk mendaftarkan ulang node terkelola pada mesin hybrid Windows

  1. Connect ke mesin Anda.

  2. Jalankan perintah berikut. Pastikan untuk mengganti nilai placeholder dengan Kode Aktivasi dan ID Aktivasi yang dihasilkan saat Anda membuat aktivasi hibrida, dan dengan pengenal Wilayah yang ingin Anda unduh dari. SSM Agent

    'yes' | & Start-Process ./ssm-setup-cli.exe -ArgumentList @("-register", "-activation-code=$code", "-activation-id=$id", "-region=$region") -Wait
Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration")
Get-Service -Name "AmazonSSMAgent"