Fase 1: completare le fasi della configurazione generale di Systems Manager Fase 2: Creare un ruolo di servizio IAM per Systems Manager Passaggio 3: Aggiungere le autorizzazioni al ruolo di scambio di token Fase 4: Distribuire il componente Systems Manager Agent Fase 5: Verificare la registrazione del dispositivo principale con Systems Manager

Installare l'agente AWS Systems Manager

L'AWS Systems Manageragente (Systems Manager Agent) è un software Amazon che installi per consentire a Systems Manager di aggiornare, gestire e configurare i dispositivi core Greengrass, le istanze Amazon EC2 e altre risorse. L'agente elabora ed esegue le richieste dal servizio Systems Manager inCloud AWS. Quindi, l'agente invia le informazioni sullo stato e sul runtime al servizio Systems Manager. Per ulteriori informazioni, vedere Informazioni su Systems Manager Agent nella Guida AWS Systems Manager per l'utente.

AWSfornisce il Systems Manager Agent come componente Greengrass che è possibile distribuire sui dispositivi principali Greengrass per gestirli con Systems Manager. Il componente Systems Manager Agent installa il software Systems Manager Agent e registra il dispositivo principale come nodo gestito in Systems Manager. Segui i passaggi in questa pagina per completare i prerequisiti e distribuire il componente Systems Manager Agent su un dispositivo principale o un gruppo di dispositivi principali.

Argomenti

Fase 1: completare le fasi della configurazione generale di Systems Manager
Fase 2: Creare un ruolo di servizio IAM per Systems Manager
Passaggio 3: Aggiungere le autorizzazioni al ruolo di scambio di token
Fase 4: Distribuire il componente Systems Manager Agent
Fase 5: Verificare la registrazione del dispositivo principale con Systems Manager

Fase 1: completare le fasi della configurazione generale di Systems Manager

Se non l'hai già fatto, completa i passaggi di configurazione generali per. AWS Systems Manager Per ulteriori informazioni, vedere Completare i passaggi generali di configurazione di Systems Manager nella Guida AWS Systems Manager per l'utente.

Fase 2: Creare un ruolo di servizio IAM per Systems Manager

L'agente Systems Manager utilizza un ruolo di servizio AWS Identity and Access Management (IAM) con cui comunicareAWS Systems Manager. Systems Manager assume questo ruolo per abilitare le funzionalità di Systems Manager su ogni dispositivo principale. Il componente Systems Manager Agent utilizza questo ruolo anche per registrare il dispositivo principale come nodo gestito di Systems Manager quando si distribuisce il componente. Se non l'hai già fatto, crea un ruolo di servizio Systems Manager da utilizzare per il componente Systems Manager Agent. Per ulteriori informazioni, consulta Creare un ruolo di servizio IAM per i dispositivi edge nella Guida per l'AWS Systems Managerutente.

Passaggio 3: Aggiungere le autorizzazioni al ruolo di scambio di token

I dispositivi core Greengrass utilizzano un ruolo di servizio IAM, chiamato ruolo di scambio di token, per interagire con AWS i servizi. Ogni dispositivo principale ha un ruolo di scambio di token che viene creato quando si installa il software AWS IoT Greengrass Core. Molti componenti Greengrass, come Systems Manager Agent, richiedono autorizzazioni aggiuntive per questo ruolo. Il componente agente Systems Manager richiede le seguenti autorizzazioni, che includono l'autorizzazione a utilizzare il ruolo in Fase 2: Creare un ruolo di servizio IAM per Systems Manager cui è stato creato.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "iam:PassRole"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:iam::account-id:role/SSMServiceRole"
      ]
    },
    {
      "Action": [
        "ssm:AddTagsToResource",
        "ssm:RegisterManagedInstance"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Se non l'hai già fatto, aggiungi queste autorizzazioni al ruolo di scambio di token del dispositivo principale per consentire il funzionamento di Systems Manager Agent. È possibile aggiungere una nuova politica al ruolo di scambio di token per concedere questa autorizzazione.

Nel menu di navigazione della console IAM, scegli Ruoli.
Scegli il ruolo IAM che hai impostato come ruolo di scambio di token quando hai installato il software AWS IoT Greengrass Core. Se non hai specificato un nome per il ruolo di scambio di token quando hai installato il software AWS IoT Greengrass Core, è stato creato un ruolo denominatoGreengrassV2TokenExchangeRole.
In Autorizzazioni, scegli Aggiungi autorizzazioni, quindi scegli Allega politiche.
Scegli Crea policy. La pagina Crea policy si apre in una nuova scheda del browser.
Nella pagina Create policy (Crea policy), eseguire le operazioni seguenti:
1. Scegli JSON per aprire l'editor JSON.
2. Incollare la seguente policy nell'editor JSON. Sostituisci SSM ServiceRole con il nome del ruolo di servizio in cui hai creato. Fase 2: Creare un ruolo di servizio IAM per Systems Manager
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "iam:PassRole"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:iam::account-id:role/SSMServiceRole"
      ]
    },
    {
      "Action": [
        "ssm:AddTagsToResource",
        "ssm:RegisterManagedInstance"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```
3. Scegliere Next: Tags (Successivo: Tag).
4. Scegliere Next:Review (Successivo: Rivedi).
5. Immettere un Name (Nome) per la policy, ad esempio GreengrassSSMAgentComponentPolicy.
6. Scegli Crea policy.
7. Passa alla scheda precedente del browser in cui è aperto il ruolo di scambio di token.
Nella pagina Aggiungi autorizzazioni, scegli il pulsante di aggiornamento, quindi seleziona la politica dell'agente Greengrass Systems Manager creata nel passaggio precedente.
Scegli Collega policy.

I dispositivi principali che utilizzano questo ruolo di scambio di token ora sono autorizzati a interagire con il servizio Systems Manager.

Per aggiungere una politica che conceda l'autorizzazione all'uso di Systems Manager

Crea un file chiamato ssm-agent-component-policy.json e copia il seguente codice JSON nel file. Sostituisci SSM ServiceRole con il nome del ruolo di servizio in cui hai creato. Fase 2: Creare un ruolo di servizio IAM per Systems Manager


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "iam:PassRole"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:iam::account-id:role/SSMServiceRole"
      ]
    },
    {
      "Action": [
        "ssm:AddTagsToResource",
        "ssm:RegisterManagedInstance"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Esegui il comando seguente per creare la politica dal documento di policy inssm-agent-component-policy.json.

Copia la policy Amazon Resource Name (ARN) dai metadati della policy nell'output. Utilizzerai questo ARN per collegare questa policy al ruolo principale del dispositivo nel passaggio successivo.

Esegui il comando seguente per allegare la policy al ruolo di scambio di token.
- Sostituisci GreenGrassV2 TokenExchangeRole con il nome del ruolo di scambio di token specificato al momento dell'installazione del AWS IoT Greengrass software Core. Se non hai specificato un nome per il ruolo di scambio di token quando hai installato il software AWS IoT Greengrass Core, è stato creato un ruolo denominato. GreengrassV2TokenExchangeRole
- Sostituisci l'ARN della policy con l'ARN del passaggio precedente.
Linux or Unix
```
aws iam attach-role-policy \
  --role-name GreengrassV2TokenExchangeRole \
  --policy-arn arn:aws:iam::123456789012:policy/GreengrassSSMAgentComponentPolicy
```
Windows Command Prompt (CMD)
```
aws iam attach-role-policy ^
  --role-name GreengrassV2TokenExchangeRole ^
  --policy-arn arn:aws:iam::123456789012:policy/GreengrassSSMAgentComponentPolicy
```
PowerShell
```
aws iam attach-role-policy `
  --role-name GreengrassV2TokenExchangeRole `
  --policy-arn arn:aws:iam::123456789012:policy/GreengrassSSMAgentComponentPolicy
```
Se il comando non ha alcun risultato, è riuscito. I dispositivi principali che utilizzano questo ruolo di scambio di token ora sono autorizzati a interagire con il servizio Systems Manager.

Fase 4: Distribuire il componente Systems Manager Agent

Completare i seguenti passaggi per distribuire e configurare il componente Systems Manager Agent. È possibile distribuire il componente su un dispositivo single core o su un gruppo di dispositivi core.

Nel menu di navigazione AWS IoT Greengrassdella console, scegli Componenti.
Nella pagina Componenti, scegli la scheda Componenti pubblici, quindi scegli aws.greengrass.SystemsManagerAgent.
Nella pagina aws.greengrass.SystemsManagerAgent, scegli (Distribuisci).
Da Aggiungi alla distribuzione, scegli una distribuzione esistente da modificare oppure scegli di creare una nuova distribuzione, quindi scegli Avanti.
Se hai scelto di creare una nuova distribuzione, scegli il dispositivo principale o il gruppo di oggetti di destinazione per la distribuzione. Nella pagina Specificare la destinazione, in Obiettivo di distribuzione, scegli un dispositivo principale o un gruppo di oggetti, quindi scegli Avanti.
Nella pagina Seleziona componenti, verifica che il aws.greengrass.SystemsManagerAgentcomponente sia selezionato, scegli Avanti.
Nella pagina Configura componenti aws.greengrass.SystemsManagerAgent, selezionate e quindi effettuate le seguenti operazioni:
1. Scegli Configura componente.
2. Nella aws.greengrass.SystemsManagerAgent modalità Configura, in Aggiornamento della configurazione, in Configurazione da unire, inserisci il seguente aggiornamento di configurazione. Sostituisci SSM ServiceRole con il nome del ruolo di servizio in cui hai creato. Fase 2: Creare un ruolo di servizio IAM per Systems Manager
```
{
  "SSMRegistrationRole": "SSMServiceRole",
  "SSMOverrideExistingRegistration": false
}
```
  Nota
  Se il dispositivo principale esegue già il Systems Manager Agent registrato con un'attivazione ibrida, passare SSMOverrideExistingRegistration atrue. Questo parametro specifica se il componente Systems Manager Agent registra il dispositivo principale quando Systems Manager Agent è già in esecuzione sul dispositivo con un'attivazione ibrida.
  È inoltre possibile specificare tag (SSMResourceTags) da aggiungere al nodo gestito di Systems Manager creato dal componente Systems Manager Agent per il dispositivo principale. Per ulteriori informazioni, vedere Configurazione dei componenti Systems Manager Agent.
3. Scegli Conferma per chiudere la modalità, quindi scegli Avanti.
Nella pagina Configura impostazioni avanzate, mantieni le impostazioni di configurazione predefinite e scegli Avanti.
Nella pagina Review (Verifica), scegli Deploy (Distribuisci).

Il completamento della distribuzione può richiedere fino a un minuto.

Per distribuire il componente Systems Manager Agent, create un documento di distribuzione che includa aws.greengrass.SystemsManagerAgent nell'componentsoggetto e specificate l'aggiornamento della configurazione per il componente. Segui le istruzioni riportate Creare distribuzione per creare una nuova distribuzione o modificare una distribuzione esistente.

Il seguente esempio di documento di distribuzione parziale specifica di utilizzare un ruolo di servizio denominato. SSMServiceRole Sostituisci SSM ServiceRole con il nome del ruolo di servizio in cui hai creato. Fase 2: Creare un ruolo di servizio IAM per Systems Manager


{
  ...,
  "components": {
    ...,
    "aws.greengrass.SystemsManagerAgent": {
      "componentVersion": "1.0.0",
      "configurationUpdate": {
        "merge": "{\"SSMRegistrationRole\":\"SSMServiceRole\",\"SSMOverrideExistingRegistration\":false}"
      }
    }
  }
}

Nota

Se il dispositivo principale esegue già il Systems Manager Agent registrato con un'attivazione ibrida, passare SSMOverrideExistingRegistration atrue. Questo parametro specifica se il componente Systems Manager Agent registra il dispositivo principale quando Systems Manager Agent è già in esecuzione sul dispositivo con un'attivazione ibrida.

È inoltre possibile specificare tag (SSMResourceTags) da aggiungere al nodo gestito di Systems Manager creato dal componente Systems Manager Agent per il dispositivo principale. Per ulteriori informazioni, vedere Configurazione dei componenti Systems Manager Agent.

La distribuzione può richiedere alcuni minuti. È possibile utilizzare il AWS IoT Greengrass servizio per verificare lo stato della distribuzione e controllare i registri del software AWS IoT Greengrass Core e i registri dei componenti Systems Manager Agent per verificare che Systems Manager Agent funzioni correttamente. Per ulteriori informazioni, consulta gli argomenti seguenti:

Controllo dello stato di implementazione
Monitora AWS IoT Greengrass i registri
Visualizzazione dei log di Systems Manager Agent nella Guida per l'AWS Systems Managerutente

Se la distribuzione fallisce o Systems Manager Agent non viene eseguito, puoi risolvere i problemi di distribuzione su ogni dispositivo principale. Per ulteriori informazioni, consulta gli argomenti seguenti:

Risoluzione dei problemi AWS IoT Greengrass V2
Risoluzione dei problemi di Systems Manager Agent nella guida AWS Systems Manager per l'utente

Fase 5: Verificare la registrazione del dispositivo principale con Systems Manager

Quando il componente Systems Manager Agent viene eseguito, registra il dispositivo principale come nodo gestito in Systems Manager. È possibile utilizzare la AWS IoT Greengrass console, la console Systems Manager e l'API Systems Manager per verificare che un dispositivo principale sia registrato come nodo gestito. I nodi gestiti sono anche chiamati istanze in alcune parti della AWS console e dell'API.

Nel menu di navigazione della AWS IoT Greengrassconsole, scegli Dispositivi principali.
Scegli il dispositivo principale da verificare.
Nella pagina dei dettagli del dispositivo principale, trova la proprietà dell'AWS Systems Manageristanza. Se questa proprietà è presente e visualizza un collegamento alla console Systems Manager, il dispositivo principale viene registrato come nodo gestito.

È inoltre possibile trovare la proprietà AWS Systems Managerping status per verificare lo stato del Systems Manager Agent sul dispositivo principale. Quando lo stato è Online, è possibile gestire il dispositivo principale con Systems Manager.

Nel menu di navigazione della console Systems Manager, scegli Fleet Manager.
In Nodi gestiti, procedi come segue:
1. Aggiungi un filtro dove si trova il tipo di origine AWS::IoT::Thing.
2. Aggiungi un filtro in cui Source ID è il nome del dispositivo principale da verificare.
Trova il dispositivo principale nella tabella Nodi gestiti. Se il dispositivo principale è nella tabella, è registrato come nodo gestito.

È inoltre possibile trovare la proprietà ping status di Systems Manager Agent per verificare lo stato di Systems Manager Agent sul dispositivo principale. Quando lo stato è Online, è possibile gestire il dispositivo principale con Systems Manager.

Utilizzate l'DescribeInstanceInformationoperazione per ottenere l'elenco dei nodi gestiti che corrispondono a un filtro specificato. Esegui il comando seguente per verificare se un dispositivo principale è registrato come nodo gestito. Sostituiscilo MyGreengrassCorecon il nome del dispositivo principale da verificare.
```
aws ssm describe-instance-information --filter Key=SourceIds,Values=MyGreengrassCore Key=SourceTypes,Values=AWS::IoT::Thing
```
La risposta contiene l'elenco dei nodi gestiti che corrispondono al filtro. Se l'elenco contiene un nodo gestito, il dispositivo principale viene registrato come nodo gestito. Puoi anche trovare altre informazioni sul nodo gestito del dispositivo principale nella risposta. Se la PingStatus proprietà èOnline, è possibile gestire il dispositivo principale con Systems Manager.

Dopo aver verificato che un dispositivo principale sia registrato come nodo gestito in Systems Manager, è possibile utilizzare la console e l'API di Systems Manager per gestire quel dispositivo principale. Per ulteriori informazioni sulle funzionalità di Systems Manager che è possibile utilizzare per gestire i dispositivi core di Greengrass, vedere le funzionalità di Systems Manager nella Guida per l'AWS Systems Managerutente.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestisci i dispositivi principali con AWS Systems Manager

Disinstallare l'agente Systems Manager