Fase 4: creazione di un'attivazione di un'istanza gestita per un ambiente ibrido. - AWS Systems Manager

Fase 4: creazione di un'attivazione di un'istanza gestita per un ambiente ibrido.

Per configurare server e macchine virtuali (VM) nell'ambiente ibrido in uso come istanze gestite, è necessario creare un'attivazione di istanza gestita. Una volta completata l'attivazione, ricevi immediatamente un codice e un ID di attivazione. Puoi specificare questa combinazione di codice e ID quando installi AWS Systems Manager SSM Agent su server e macchine virtuali nell'ambiente ibrido. Il codice/l'ID fornisce accesso sicuro al servizio Systems Manager gestito dalle tue istanze.

Importante

Systems Manager restituisce immediatamente il codice e l'ID di attivazione alla console o finestra di comando, a seconda di come è stato creata l'attivazione. Copia queste informazioni e archiviale in un luogo sicuro. Se esci dalla console o chiudi la finestra di comando, potresti perdere queste informazioni. Se le smarrisci, devi creare una nuova attivazione.

Informazioni sulle scadenze dell'attivazione

Una scadenza dell'attivazione è una finestra temporale durante la quale è possibile registrare macchine locali su Systems Manager. Un'attivazione scaduta non ha alcun impatto su server o macchine virtuali (VM) registrate in precedenza su Systems Manager. Se un'attivazione scade allora non è possibile registrare altri server o macchine virtuali su Systems Manager utilizzando tale specifica attivazione. È necessario crearne una nuova.

Ogni server locale e macchina virtuale che hai registrato in precedenza rimane registrato come istanza gestita Systems Manager, fino a quando annulli la registrazione esplicitamente. È possibile annullare la registrazione di un'istanza gestita nelFleet ManagerPagina eIstanze gestitedella console di Systems Manager, utilizzando la schedaAWS CLIComandoistanza di annullamento della registrazione gestitao utilizzando la chiamata APIDeregisterManagedInstance.

Informazioni sui tag di attivazione

Se crei un'attivazione utilizzando AWS Command Line Interface (AWS CLI) o AWS Tools for Windows PowerShell, puoi specificare i tag. I tag sono metadati facoltativi assegnati a una risorsa. Consentono di categorizzare una risorsa in diversi modi, ad esempio in base allo scopo, al proprietario o all'ambiente. Ecco un comando AWS CLI di esempio da eseguire su una macchina Linux locale che include tag.

aws ssm create-activation \ --default-instance-name MyWebServers \ --description "Activation for Finance department webservers" \ --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances \ --registration-limit 10 \ --region us-east-2 \ --tags "Key=Department,Value=Finance"

Se specifichi i tag durante la creazione di un'attivazione, allora tali tag vengono automaticamente assegnati ai server locali e alle macchine virtuali al momento della loro attivazione.

Non puoi aggiungere o eliminare tag da un'attivazione esistente. Se non desideri assegnare automaticamente tag ai server e alle macchine virtuali locali utilizzando un'attivazione, puoi aggiungerli in un secondo momento. In particolare, puoi applicare tag ai server e alle macchine virtuali locali dopo che si connettono a Systems Manager per la prima volta. Dopo la connessione, gli viene assegnato un ID istanza gestita che viene elencato nella console Systems Manager con un ID preceduto da "mi-". Per informazioni su come aggiungere tag alle istanze gestite senza utilizzare il processo di attivazione, consulta Applicazione di tag alle istanze gestite.

Nota

Non puoi assegnare tag a un'attivazione se questa viene creata utilizzando la console Systems Manager. È necessario crearla utilizzandoAWS CLIo Tools for Windows PowerShell.

Se non desideri più gestire un server locale o una macchina virtuale (VM) con Systems Manager puoi annullare la registrazione. Per informazioni, consulta Annullamento della registrazione delle istanze gestite in un ambiente ibrido.

Creazione di un'attivazione (console)

Per creare un'attivazione di un'istanza gestita

  1. Apri la console AWS Systems Manager all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, selezionareAttivazioni ibride.

    -oppure-

    Se il fileAWS Systems Managersi apre per prima, scegliere l'icona del menu ( ) per aprire il riquadro di navigazione, quindi selezionareAttivazioni ibride.

  3. Scegli Create activation (Crea attivazione).

  4. (Facoltativo) Nel campo Activation description (Descrizione attivazione), inserisci una descrizione per questa attivazione. La descrizione è facoltativa, ti consigliamo di inserire una descrizione se prevedi di attivare un numero elevato di server e macchine virtuali.

  5. Nel campo Instance limit (Limite di istanze), specificare il numero totale di server locali o macchine virtuali che si desidera registrare con AWS come parte di questo attivazione. Il valore predefinito è istanza.

  6. Nella sezione IAM nome ruolo scegli un'opzione per il ruolo di servizio che consente a server e macchine virtuali di comunicare con AWS Systems Manager nel cloud:

    1. Scegli Use the system created default command execution role (Utilizzare il ruolo di esecuzione dei comandi di default creato dal sistema) per utilizzare un ruolo e una policy gestita create da AWS.

    2. ScegliereSelezionare un ruolo IAM personalizzato esistente con le autorizzazioni necessariePer utilizzare il ruolo personalizzato facoltativo creato in precedenza. A tale ruolo deve essere associato un criterio di relazione di trust che specifichi"Service": "ssm.amazonaws.com". Se il ruolo IAM non specifica questo principio in un criterio di relazione di trust, viene visualizzato il seguente errore:

      An error occurred (ValidationException) when calling the CreateActivation
                                          operation: Not existing role: arn:aws:iam::<accountid>:role/SSMRole

      Per ulteriori informazioni sulla creazione di questo ruolo, consulta Fase 2: creazione di un ruolo del servizio IAM per un ambiente ibrido..

  7. Nel campo Activation expiry date (Data di scadenza dell'attivazione), specificare una data di scadenza per l'attivazione. La data di scadenza deve essere in futuro e non più di 30 giorni in futuro. Il valore predefinito è 24 ore.

    Nota

    Se vuoi registrare istanze gestite aggiuntive dopo la scadenza, devi creare una nuova attivazione. La data di scadenza non ha alcun impatto su istanze registrate e in esecuzione.

  8. (Facoltativo) Nel campo Default instance name (Nome di istanza di default), specificare un nome.

  9. Scegli Create activation (Crea attivazione). Systems Manager restituisce immediatamente il codice di attivazione e l'ID alla console.

Creazione di un'attivazione di un'istanza gestita (riga di comando)

La procedura seguente descrive come utilizzare AWS Command Line Interface (AWS CLI) (su Linux o Windows) o AWS Tools for PowerShell per creare un'attivazione di un'istanza gestita.

Per creare un'attivazione

  1. Se non è stato ancora fatto, installare e configurare il AWS CLI o il AWS Tools for PowerShell.

    Per informazioni, consulta .Installazione o aggiornamentoAWSStrumenti a riga di comando.

  2. Eseguire il comando seguente per creare un'attivazione.

    Nota
    • region (regione) rappresenta l'identificatore di una Regione AWS (regione AWS) supportata da AWS Systems Manager, ad esempio us-east-2 per la regione Stati Uniti orientali (Ohio). Per un elenco delle regioni disponibili, consultare la colonna Region (Regione) in Endpoint del servizio Systems Manager nei Riferimenti generali di Amazon Web Services.

    • Il ruolo specificato per ilRuolo IAMMIl parametro deve avere un criterio di relazione di trust che specifica"Service": "ssm.amazonaws.com". Se le ricette diAWS Identity and Access Management(IAM) non specifica questo principio in un criterio di relazione di trust, viene visualizzato il seguente errore:

      An error occurred (ValidationException) when calling the CreateActivation
                                              operation: Not existing role: arn:aws:iam::<accountid>:role/SSMRole

      Per ulteriori informazioni sulla creazione di questo ruolo, consulta Fase 2: creazione di un ruolo del servizio IAM per un ambiente ibrido..

    • Per--expiration-date, fornire una data in formato timestamp, ad esempio"2021-07-07T00:00:00", per quando scade il codice di attivazione. È possibile specificare una data fino a 30 giorni di anticipo. Se non fornisci una data di scadenza, il codice di attivazione scade tra 24 ore.

    Linux & macOS
    aws ssm create-activation \ --default-instance-name name \ --iam-role iam-service-role-name \ --registration-limit number-of-managed-instances \ --region region \ --expiration-date "timestamp" \\ --tags "Key=key-name-1,Value=key-value-1" "Key=key-name-2,Value=key-value-2"
    Windows
    aws ssm create-activation ^ --default-instance-name name ^ --iam-role iam-service-role-name ^ --registration-limit number-of-managed-instances ^ --region region ^ --expiration-date "timestamp" ^ --tags "Key=key-name-1,Value=key-value-1" "Key=key-name-2,Value=key-value-2"
    PowerShell
    New-SSMActivation -DefaultInstanceName name ` -IamRole iam-service-role-name ` -RegistrationLimit number-of-managed-instances ` –Region region ` -ExpirationDate "timestamp" ` -Tag @{"Key"="key-name-1";"Value"="key-value-1"},@{"Key"="key-name-2";"Value"="key-value-2"}

    Ecco un esempio:

    Linux & macOS
    aws ssm create-activation \ --default-instance-name MyWebServers \ --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances \ --registration-limit 10 \ --region us-east-2 \ --expiration-date "2021-07-07T00:00:00" \ --tags "Key=Environment,Value=Production" "Key=Department,Value=Finance"
    Windows
    aws ssm create-activation ^ --default-instance-name MyWebServers ^ --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances ^ --registration-limit 10 ^ --region us-east-2 ^ --expiration-date "2021-07-07T00:00:00" ^ --tags "Key=Environment,Value=Production" "Key=Department,Value=Finance"
    PowerShell
    New-SSMActivation -DefaultInstanceName MyWebServers ` -IamRole service-role/AmazonEC2RunCommandRoleForManagedInstances ` -RegistrationLimit 10 ` –Region us-east-2 ` -ExpirationDate "2021-07-07T00:00:00" ` -Tag @{"Key"="Environment";"Value"="Production"},@{"Key"="Department";"Value"="Finance"}

    Se l'attivazione viene creata correttamente, il sistema restituisce immediatamente un codice e un ID di attivazione.

Continua su Fase 6: installazione di SSM Agent per un ambiente ibrido (Windows).