ステップ 5: ハイブリッド環境に SSM Agent をインストールする (Windows) - AWS Systems Manager
プライベートキーの自動ローテーションを設定するマネージドインスタンスの登録解除と再登録

ステップ 5: ハイブリッド環境に SSM Agent をインストールする (Windows)

このトピックでは、ハイブリッド環境の Windows Server マシンに SSM Agent をインストールする方法について説明します。ハイブリッド環境で Linux マシンを使用する場合は、前のステップ「ステップ 4: ハイブリッド環境 (Linux) に SSM Agent をインストール」を参照してください。

重要

この手順では、オンプレミス環境やハイブリッド環境のサーバーおよび仮想マシン (VM) を対象としています。Windows Server の EC2 インスタンスに SSM Agent をダウンロードしてインストールするには、Windows Server の EC2 インスタンスで SSM Agent をインストールして設定する を参照してください。

開始する前に、ステップ 3: ハイブリッド環境用のマネージドインスタンスのアクティベーションを作成 でマネージドインスタンスのアクティベーションを先ほど完了した後に送信されたアクティベーションコードとアクティベーション ID を見つけます。このコードと ID を次の手順で指定します。

ハイブリッド環境のサーバーおよび VM に SSM Agent をインストールするには

  1. ハイブリッド環境のサーバーまたは VM にログオンします。

  2. HTTP または HTTPS プロキシを使用する場合は、現在のシェルセッションで http_proxy または https_proxy の環境変数を設定する必要があります。プロキシを使用していない場合は、この手順を省略できます。

    HTTP プロキシサーバーの場合は、次の変数を設定します。

    http_proxy=http://hostname:port
https_proxy=http://hostname:port

    HTTPS プロキシサーバーの場合は、次の変数を設定します。

    http_proxy=http://hostname:port
https_proxy=https://hostname:port

  3. 昇格された (管理者) モードで Windows PowerShell を開きます。

  4. Windows PowerShell に以下のコマンドブロックをコピーして貼り付けます。プレースホルダ値の代わりに、マネージドインスタンスのアクティベーションの作成時に生成されたアクティベーションコードとアクティベーション ID、および SSM Agent のダウンロード元の AWS リージョン の識別子を入力します。

    リージョンは、米国東部 (オハイオ) リージョンの us-east-2 のように、AWS Systems Manager でサポートされている AWS リージョン の識別子を表します。サポートされている region 値の一覧については、アマゾン ウェブ サービスの全般リファレンスの「Systems Manager サービスエンドポイント」にある Region 列を参照してください。

    64-bit
    $code = "activation-code"
$id = "activation-id"
$region = "region"
$dir = $env:TEMP + "\ssm"
New-Item -ItemType directory -Path $dir -Force
cd $dir
(New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_amd64/AmazonSSMAgentSetup.exe", $dir + "\AmazonSSMAgentSetup.exe")
Start-Process .\AmazonSSMAgentSetup.exe -ArgumentList @("/q", "/log", "install.log", "CODE=$code", "ID=$id", "REGION=$region") -Wait
Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration")
Get-Service -Name "AmazonSSMAgent"
    32-bit
    $code = "activation-code"
$id = "activation-id"
$region = "region"
$dir = $env:TEMP + "\ssm"
New-Item -ItemType directory -Path $dir -Force
cd $dir
(New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_386/AmazonSSMAgentSetup.exe", $dir + "\AmazonSSMAgentSetup.exe")
Start-Process .\AmazonSSMAgentSetup.exe -ArgumentList @("/q", "/log", "install.log", "CODE=$code", "ID=$id", "REGION=$region") -Wait
Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration")
Get-Service -Name "AmazonSSMAgent"

  5. Enter キーを押します。

コマンドが以下の操作を行います。

  • サーバーまたは VM に SSM Agent をダウンロードしてインストールします。

  • サーバーまたは VM を Systems Manager サービスに登録します。

  • リクエストに対して次のようなレスポンスを返します。

        Directory: C:\Users\ADMINI~1\AppData\Local\Temp\2


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
d-----       07/07/2018   8:07 PM                ssm
{"ManagedInstanceID":"mi-008d36be46EXAMPLE","Region":"us-east-2"}

Status      : Running
Name        : AmazonSSMAgent
DisplayName : Amazon SSM Agent

これで、サーバーまたは VM はマネージドインスタンスになりました。これらのインスタンスは、"mi-" というプレフィックスで識別されます。AWS CLI コマンド describe-instance-information、または API コマンドDescribeInstancePatches を使用することで Fleet Manager コンソールのマネージドインスタンスページでマネージドインスタンスを閲覧できます。

プライベートキーの自動ローテーションを設定する

セキュリティポスチャを強化するには、AWS Systems Manager Agent (SSM Agent) を設定して、ハイブリッド環境のプライベートキーを自動的にローテーションさせます。SSM Agent バージョン 3.0.1031.0 以降を使用すると、この機能にアクセスできます。次の手順に従ってこの機能を有効にします。

ハイブリッド環境のプライベートキーをローテーションするように SSM Agent を設定するには

  1. Linux マシンで /etc/amazon/ssm/、または Windows マシンでは C:\Program Files\Amazon\SSM に移動します。

  2. amazon-ssm-agent.json.template の内容を amazon-ssm-agent.json という名前の新ファイルにコピーします。amazon-ssm-agent.json.template と同じディレクトリに amazon-ssm-agent.json を保存します。

  3. ProfileKeyAutoRotateDays を探す プライベートキーの自動ローテーション間隔の日数を入力します。

  4. SSM Agent を再起動します。

設定を変更するたびに、SSM Agent を再起動します。

同じ手順を使用して、SSM Agent の他の機能をカスタマイズできます。使用可能な設定プロパティとそのデフォルト値の最新リストについては、「Config Property Definitions (設定プロパティの定義)」を参照してください。

マネージドインスタンスの登録解除と再登録

マネージドインスタンスの登録を解除するには、 AWS CLI または Tools for Windows PowerShell のいずれかから DeregisterManagedInstance API オペレーションを呼び出します。以下に CLI コマンドの例を示します。

aws ssm deregister-managed-instance --instance-id "mi-1234567890"

マネージドインスタンスは、登録解除した後に再登録できます。マネージドインスタンスを再登録するには、以下の手順を使用します。手順を完了すると、マネージドインスタンスがマネージドインスタンスのリストに再び表示されます。

Windows ハイブリッドマシンにマネージインスタンスを再登録するには

  1. インスタンスに接続します

  2. 次のコマンドを実行します。必ずプレースホルダー値の代わりに、マネージドインスタンスのアクティベーションの作成時に生成されたアクティベーションコードとアクティベーション ID、および SSM Agent のダウンロード元のリージョンの識別子を入力します。

    'yes' | & 'C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe' -register -code activation-code -id activation-id -region region; Restart-Service AmazonSSMAgent