Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti - AWS Systems Manager
Soluzione 1: verifica che SSM Agent sia installato e in esecuzione sul nodo gestitoSoluzione 2: verificare che sia stato specificato un ruolo di istanza IAM per l'istanza (solo per istanze EC2)Soluzione 3: verifica della connettività degli endpoint del servizioSoluzione 4: verifica del supporto del sistema operativo di destinazioneSoluzione 5: verifica di lavorare nella Regione AWS stessa istanza di Amazon EC2Soluzione 6: verifica la configurazione proxy applicata a SSM Agent sul tuo nodo gestitoSoluzione 7: installazione di un certificato TLS sulle istanze gestite

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti

Per diverse AWS Systems Manager funzionalità come Run CommandDistributor, eSession Manager, puoi scegliere di selezionare manualmente i nodi gestiti su cui desideri eseguire un'operazione. In casi come questi, dopo avere specificato che si desidera scegliere manualmente i nodi, viene visualizzato un elenco dei nodi gestiti. su cui puoi decidere di eseguire l'operazione.

Questo argomento fornisce informazioni per aiutarti nell'esecuzione della diagnosi del motivo per cui un nodo gestito che hai confermato come in esecuzione non è incluso negli elenchi dei nodi gestiti in Systems Manager.

Affinché un nodo possa essere gestito da Systems Manager e reso disponibile negli elenchi dei nodi gestiti, deve soddisfare tre requisiti:

  • SSM Agent deve essere installato e in esecuzione su un nodo con un sistema operativo supportato.

    Nota

    Alcuni AWS managed Amazon Machine Images (AMIs) sono configurati per avviare istanze SSM Agentpreinstallate. (È possibile configurare anche una AMI per preinstallare SSM Agent.) Per ulteriori informazioni, consulta Trova AMIs con il SSM Agent preinstallato.

  • Per le istanze Amazon Elastic Compute Cloud (Amazon EC2), devi collegare AWS Identity and Access Management un profilo di istanza (IAM) all'istanza. Il profilo dell'istanza consente all'istanza di comunicare con il servizio Systems Manager. Se non si assegna un profilo dell'istanza all'istanza, è possibile registrarlo utilizzando un'attivazione ibrida, che non è uno scenario comune.

  • SSM Agent deve essere in grado di connettersi a un endpoint di Systems Manager per registrarsi con il servizio. Successivamente, il nodo gestito deve essere disponibile per il servizio, il che viene confermato da parte del servizio attraverso l'invio di un segnale ogni cinque minuti per controllare l'integrità dell'istanza.

  • Se lo stato di un nodo gestito è rimasto Connection Lost per almeno 30 giorni, il nodo potrebbe non essere più elencato nella console Fleet Manager. Per inserirlo nuovamente nell'elenco, è necessario risolvere il problema che ha causato la perdita della connessione.

Dopo aver verificato che un nodo gestito sia in esecuzione, puoi utilizzare il comando seguente per verificare se SSM Agent si è registrato correttamente con il servizio Systems Manager. Questo comando non restituisce risultati fino a quando la registrazione non è correttamente avvenuta.

Linux & macOS
aws ssm describe-instance-associations-status \
    --instance-id instance-id
Windows
aws ssm describe-instance-associations-status ^
    --instance-id instance-id
PowerShell
Get-SSMInstanceAssociationsStatus `
    -InstanceId instance-id

Se la registrazione ha avuto esito positivo e il nodo gestito è ora disponibile per le operazioni di Systems Manager, il comando restituisce risultati simili ai seguenti.

{
    "InstanceAssociationStatusInfos": [
        {
            "AssociationId": "fa262de1-6150-4a90-8f53-d7eb5EXAMPLE",
            "Name": "AWS-GatherSoftwareInventory",
            "DocumentVersion": "1",
            "AssociationVersion": "1",
            "InstanceId": "i-02573cafcfEXAMPLE",
            "Status": "Pending",
            "DetailedStatus": "Associated"
        },
        {
            "AssociationId": "f9ec7a0f-6104-4273-8975-82e34EXAMPLE",
            "Name": "AWS-RunPatchBaseline",
            "DocumentVersion": "1",
            "AssociationVersion": "1",
            "InstanceId": "i-02573cafcfEXAMPLE",
            "Status": "Queued",
            "AssociationName": "SystemAssociationForScanningPatches"
        }
    ]
}

Se la registrazione non è ancora completata o non ha avuto esito positivo, il comando restituisce risultati simili al seguente:

{
    "InstanceAssociationStatusInfos": []
}

Se il comando non restituisce risultati dopo circa 5 minuti, utilizzare le informazioni seguenti per risolvere i problemi relativi ai nodi gestiti.

Argomenti

Soluzione 1: verifica che SSM Agent sia installato e in esecuzione sul nodo gestito

Verifica che sul nodo gestito sia installata e in esecuzione la versione più recente di SSM Agent.

Per determinare se SSM Agent è installato e in esecuzione su un nodo gestito, consulta Verifica dello stato di SSM Agent e avvio dell'agente.

Per installare o reinstallare SSM Agent su un nodo gestito, consulta i seguenti argomenti:

Soluzione 2: verificare che sia stato specificato un ruolo di istanza IAM per l'istanza (solo per istanze EC2)

Per le istanze Amazon Elastic Compute Cloud (Amazon EC2), verifica che l'istanza sia configurata con un profilo dell'istanza AWS Identity and Access Management (IAM) che consente all'istanza di comunicare con l'API di Systems Manager. Inoltre, verifica che l'utente disponga di una policy di attendibilità IAM che gli consenta di comunicare con l'API di Systems Manager.

Nota

I server on-premise, i dispositivi edge e le macchine virtuali utilizzano un ruolo di servizio IAM anziché un profilo dell'istanza. Per ulteriori informazioni, consulta Creare il ruolo di servizio IAM richiesto per Systems Manager in ambienti ibridi e multicloud.

Per determinare se un profilo dell'istanza con le autorizzazioni necessarie è collegato a un'istanza EC2

  1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel riquadro di navigazione, seleziona Istanze.

  3. Scegliere l'istanza in cui verificare la presenza di un profilo dell'istanza.

  4. Sulla scheda Description (Descrizione) nel riquadro inferiore, individuare Ruolo IAM e scegliere il nome del ruolo.

  5. Sulla pagina Riepilogodel ruolo per il profilo dell'istanza, nella scheda Autorizzazioni, assicurarsi che AmazonSSMManagedInstanceCore sia elencato sotto Policy di autorizzazione.

    Se invece viene utilizzato una policy personalizzata, assicurarsi che fornisca le stesse autorizzazioni di AmazonSSMManagedInstanceCore.

    Apri AmazonSSMManagedInstanceCore nella console

    Per informazioni su altre politiche che possono essere allegate a un profilo di istanza per Systems Manager, vedere Configurare le autorizzazioni di istanza richieste per Systems Manager.

Soluzione 3: verifica della connettività degli endpoint del servizio

Verifica che l'istanza disponga della connettività agli endpoint del servizio Systems Manager. Questa connettività viene fornita creando e configurando endpoint VPC per Systems Manager o consentendo il traffico in uscita HTTPS (porta 443) agli endpoint di servizio.

Per le istanze Amazon EC2, l'endpoint del servizio Systems Manager per il Regione AWS viene utilizzato per registrare l'istanza se la configurazione del cloud privato virtuale (VPC) consente il traffico in uscita. Tuttavia, se la configurazione VPC in cui è stata avviata l'istanza non permette il traffico in uscita e non è possibile modificarla per consentire la connettività agli endpoint di servizio pubblici, è necessario configurare invece gli endpoint di interfaccia per il VPC.

Per ulteriori informazioni, consulta Migliorare la sicurezza delle istanze EC2 utilizzando gli endpoint VPC per Systems Manager.

Soluzione 4: verifica del supporto del sistema operativo di destinazione

Verifica che l'operazione scelta possa essere eseguita sul tipo di nodo gestito che si prevede di visualizzare in elenco. Alcune operazioni di Systems Manager possono essere indirizzate solo alle istanze di Windows o solo alle istanze di Linux. Ad esempio, i documenti Systems Manager (SSM) AWS-InstallPowerShellModule e AWS-ConfigureCloudWatch possono essere eseguiti solo su istanze di Windows. Nella pagina Esegui un comando, se scegli uno di questi documenti e selezioni Scegli le istanze manualmente, vengono elencate e rese disponibili per la selezione solo le istanze di Windows.

Soluzione 5: verifica di lavorare nella Regione AWS stessa istanza di Amazon EC2

Le istanze Amazon EC2 vengono create e disponibili in aree specifiche Regioni AWS, come la regione degli Stati Uniti orientali (Ohio) (us-east-2) o la regione Europa (Irlanda) (eu-west-1). Assicurati di lavorare nella Regione AWS stessa istanza Amazon EC2 con cui desideri lavorare. Per ulteriori informazioni, consulta Scelta di una Regione in Nozioni di base su AWS Management Console.

Soluzione 6: verifica la configurazione proxy applicata a SSM Agent sul tuo nodo gestito

Verifica che la configurazione proxy applicata a SSM Agent sul tuo nodo gestito sia corretta. Se la configurazione del proxy non è corretta, il nodo non può connettersi agli endpoint di servizio richiesti oppure Systems Manager potrebbe identificare in modo errato il sistema operativo del nodo gestito. Per ulteriori informazioni, consulta Configurazione SSM Agent per l'utilizzo di un proxy sui nodi Linux e Configurazione di SSM Agent per utilizzare un proxy per le istanze Windows Server.

Soluzione 7: installazione di un certificato TLS sulle istanze gestite

Un certificato Transport Layer Security (TLS) deve essere installato su ogni istanza gestita con cui utilizzi. AWS Systems Manager Servizi AWS usa questi certificati per crittografare le chiamate verso altri. Servizi AWS

Un certificato TLS è già installato per impostazione predefinita su ogni istanza Amazon EC2 creata da qualsiasi Amazon Machine Image (AMI). La maggior parte dei sistemi operativi moderni include il certificato TLS richiesto dalle autorità di certificazione Amazon Trust Services nel proprio archivio fiduciario.

Per verificare se il certificato richiesto è installato sull'istanza, esegui il seguente comando in base al sistema operativo dell'istanza. Assicurati di sostituire la parte dell'URL relativa alla regione con quella Regione AWS in cui si trova l'istanza gestita.

Linux & macOS
curl -L https://ssm.region.amazonaws.com
Windows
Invoke-WebRequest -Uri https://ssm.region.amazonaws.com

Il comando dovrebbe restituire un errore UnknownOperationException. Se invece ricevi un messaggio di errore SSL/TLS, il certificato richiesto potrebbe non essere installato.

Se ritieni AMIs che i certificati CA di Amazon Trust Services richiesti non siano installati sui tuoi sistemi operativi di base, su istanze create con istanze non fornite da Amazon o sui tuoi server e macchine virtuali locali, devi installare e consentire un certificato di Amazon Trust Services o utilizzare AWS Certificate Manager (ACM) per creare e gestire i certificati per un servizio integrato supportato.

In ciascuna delle istanze gestite deve essere installato uno dei seguenti certificati Transport Layer Security (TLS).

  • Autorità di certificazione root Amazon 1

  • Autorità di certificazione root dei servizi Starfield - G2

  • Autorità di certificazione Starfield di livello 2

Per ulteriori informazioni su ACM, consulta la Guida per l'utente di AWS Certificate Manager.

Se i certificati nel tuo ambiente di elaborazione sono gestiti da un Group Policy Object (GPO), potresti dover configurare le policy di gruppo affinché includano uno di tali certificati.

Per ulteriori informazioni sui certificati Amazon Root e Starfield, consulta il post del blog How to Prepare AWS for's Move to Its Own Certificate Authority.