Fase 4: Installare SSM Agent per un ambiente ibrido e multicloud (Windows) - AWS Systems Manager
Impostazione della rotazione automatica della chiave privataAnnullamento della registrazione e registrazione di un nodo gestito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Fase 4: Installare SSM Agent per un ambiente ibrido e multicloud (Windows)

Questo argomento descrive come installare SSM Agent su macchine Windows Server in un ambiente ibrido e multicloud. Se prevedi di utilizzare macchine Linux non EC2 in un ambiente ibrido e multicloud, consulta la fase precedente, Fase 3: Installare SSM Agent per un ambiente ibrido e multicloud (Linux).

Importante

Questa procedura riguarda macchine non EC2 (Amazon Elastic Compute Cloud) in ambiente ibrido e multicloud. Per scaricare e installare SSM Agent su un'istanza EC2 per Windows Server, consulta Utilizzo di SSM Agent sulle istanze EC2 per Windows Server.

Prima di iniziare, individua il codice e l'ID di attivazione che sono stati inviati dopo aver completato l'attivazione ibrida in precedenza in Fase 2: Creare un'attivazione ibrida per un ambiente ibrido e multicloud. È possibile specificare il codice e l'ID nella procedura seguente.

Per installare SSM Agent su macchine Windows Server non EC2 in un ambiente ibrido e multicloud

  1. Accedi a un server o una macchina virtuale all'interno dell'ambiente ibrido e multicloud.

  2. Se si utilizza un proxy HTTP o HTTPS, è necessario impostare l'http_proxyohttps_proxynella sessione della shell corrente. Se non utilizzi un proxy, questa fase può essere ignorata.

    Per un server proxy HTTP, impostare la variabile seguente:

    http_proxy=http://hostname:port
https_proxy=http://hostname:port

    Per un server proxy HTTPS, impostare questa variabile:

    http_proxy=http://hostname:port
https_proxy=https://hostname:port

  3. Apri Windows PowerShell come amministratore.

  4. Copia e incolla il seguente blocco di comandi in Windows PowerShell. Sostituisci ciascun segnaposto delle risorse di esempio con le tue informazioni. Ad esempio, il codice di attivazione e l'ID di attivazione generati quando si crea un'attivazione ibrida e con l'identificatore SSM Agent da Regione AWS cui si desidera effettuare il download.

    Nota

    Tieni presenti queste importanti informazioni relative a questo processo:

    • La ssm-setup-cli supporta un'opzione manifest-url che determina l'origine da cui viene scaricato l'agente. Non specificare un valore per questa opzione a meno che non sia richiesto dall'organizzazione.

    • È possibile utilizzare lo script fornito qui per convalidare la firma di. ssm-setup-cli

    • Durante la registrazione delle istanze, utilizza solo il link per il download fornito per la ssm-setup-cli. La ssm-setup-cli non deve essere conservata separatamente per usi futuri.

    region rappresenta l'identificatore di una regione Regione AWS supportata da AWS Systems Manager, ad esempio us-east-2 per la regione Stati Uniti orientali (Ohio). Per un elenco dei valori region supportati, consulta la colonna Regione in Endpoint del servizio Systems Manager nella Riferimenti generali di Amazon Web Services.

    Inoltre, la ssm-setup-cli include le seguenti opzioni:

    • version: i valori validi sono latest e stable.

    • downgrade: riporta l'agente a una versione precedente.

    • skip-signature-validation: ignora la convalida della firma durante il download e l'installazione dell'agente.

    64-bit
    [System.Net.ServicePointManager]::SecurityProtocol = 'TLS12'
$code = "activation-code"
$id = "activation-id"
$region = "us-east-1"
$dir = $env:TEMP + "\ssm"
New-Item -ItemType directory -Path $dir -Force
cd $dir
(New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_amd64/ssm-setup-cli.exe", $dir + "\ssm-setup-cli.exe")
./ssm-setup-cli.exe -register -activation-code="$code" -activation-id="$id" -region="$region"
Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration")
Get-Service -Name "AmazonSSMAgent"
    32-bit
    "[System.Net.ServicePointManager]::SecurityProtocol = 'TLS12'"
$code = "activation-code"
$id = "activation-id"
$region = "us-east-1"
$dir = $env:TEMP + "\ssm"
New-Item -ItemType directory -Path $dir -Force
cd $dir
(New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_386/ssm-setup-cli.exe", $dir + "\ssm-setup-cli.exe")
./ssm-setup-cli.exe -register -activation-code="$code" -activation-id="$id" -region="$region"
Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration")
Get-Service -Name "AmazonSSMAgent"

  5. Premi Enter.

Il comando esegue quanto segue:

  • Scarica e installa SSM Agent sulla macchina.

  • Registra la macchina con il servizio Systems Manager.

  • Restituisce una risposta alla richiesta simile a quella riportata di seguito:

        Directory: C:\Users\ADMINI~1\AppData\Local\Temp\2


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
d-----       07/07/2018   8:07 PM                ssm
{"ManagedInstanceID":"mi-008d36be46EXAMPLE","Region":"us-east-2"}

Status      : Running
Name        : AmazonSSMAgent
DisplayName : Amazon SSM Agent

La macchina è ora un nodo gestito. Questi nodi gestiti ora vengono identificati con il prefisso "mi-". È possibile visualizzare i nodi gestiti nella pagina Nodo gestito inFleet Manager, utilizzando il AWS CLI comando describe-instance-informationo utilizzando il comando API. DescribeInstanceInformation

Impostazione della rotazione automatica della chiave privata

Per rafforzare il tuo livello di sicurezza, puoi configurare AWS Systems Manager Agent (SSM Agent) in modo che ruoti automaticamente la chiave privata per un ambiente ibrido e multicloud. È possibile accedere a questa funzione utilizzandoSSM Agent3.0.1031.0 o versioni successive Attivare questa funzione seguendo la procedura seguente per.

Per configurare SSM Agent per ruotare la chiave privata di un ambiente ibrido e multicloud

  1. Accedi a /etc/amazon/ssm/ su una macchina Linux o C:\Program Files\Amazon\SSM per una macchina Windows Server.

  2. Copiare il contenuto diamazon-ssm-agent.json.templateIn un nuovo file denominatoamazon-ssm-agent.json. Save (Salva)amazon-ssm-agent.jsonnella stessa directory doveamazon-ssm-agent.json.templatesi trova.

  3. Trova Profile, KeyAutoRotateDays. Immettere il numero di giorni desiderato tra le rotazioni automatiche della chiave privata.

  4. Riavviare SSM Agent.

Ogni volta che si modifica la configurazione, riavviareSSM Agent.

È possibile personalizzare altre funzionalità diSSM Agentutilizzando la stessa procedura. Per un up-to-date elenco delle proprietà di configurazione disponibili e dei relativi valori predefiniti, vedere Config Property Definitions.

Annullamento della registrazione e registrazione di un nodo gestito

È possibile annullare la registrazione di un nodo gestito chiamando l'operazione DeregisterManagedInstanceAPI da AWS CLI o Tools for Windows. PowerShell Di seguito è illustrato un esempio di comando CLI:

aws ssm deregister-managed-instance --instance-id "mi-1234567890"

Per rimuovere le informazioni di registrazione rimanenti per l'agente, rimuovi la chiave IdentityConsumptionOrder dal file amazon-ssm-agent.json. Quindi, esegui il comando riportato di seguito:

amazon-ssm-agent -register -clear

Puoi registrare nuovamente una macchina dopo aver annullato la registrazione. Usa la procedura seguente per registrare nuovamente una macchina come nodo gestito. Al termine della procedura, il nodo gestito viene nuovamente visualizzato nel relativo elenco.

Per registrare nuovamente un nodo gestito su una macchina ibrida Windows

  1. Connettiti alla macchina.

  2. Esegui il comando seguente. Sostituisci i valori segnaposto con codice e ID di attivazione generati quando crei un'attivazione ibrida e con l'identificativo della regione da cui desideri scaricare SSM Agent.

    'yes' | & Start-Process ./ssm-setup-cli.exe -ArgumentList @("-register", "-activation-code=$code", "-activation-id=$id", "-region=$region") -Wait
Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration")
Get-Service -Name "AmazonSSMAgent"