翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ステップ 4: ハイブリッドおよびマルチクラウド環境に SSM Agent をインストールする (Windows)
このトピックでは、ハイブリッドおよびマルチクラウド環境の Windows Server マシンに SSM Agent をインストールする方法について説明します。ハイブリッドおよびマルチクラウド環境で非 EC2 Linux マシンを使用する場合は、前のステップ「ステップ 3: ハイブリッドおよびマルチクラウド環境 (Linux) に SSM Agent をインストールする」を参照してください。
重要
この手順は、ハイブリッドおよびマルチクラウド環境の非 EC2 (Amazon Elastic Compute Cloud) マシンを対象としています。Windows Server の EC2 インスタンスに SSM Agent をダウンロードしてインストールするには、Windows Server 用 EC2 インスタンスで SSM Agent を使用する を参照してください。
開始する前に、ステップ 2: ハイブリッドおよびマルチクラウド環境用のハイブリッドアクティベーションを作成する でハイブリッドのアクティベーションを先ほど完了した後に送信されたアクティベーションコードとアクティベーション ID を見つけます。このコードと ID を次の手順で指定します。
ハイブリッドおよびマルチクラウド環境の非 EC2 Windows Server マシンに SSM Agent をインストールするには
-
ハイブリッドおよびマルチクラウド環境のサーバーまたは VM にログオンします。
-
HTTP または HTTPS プロキシを使用する場合は、現在のシェルセッションで
http_proxy
またはhttps_proxy
の環境変数を設定する必要があります。プロキシを使用していない場合は、この手順を省略できます。HTTP プロキシサーバーの場合は、次の変数を設定します。
http_proxy=http://
hostname
:port
https_proxy=http://hostname
:port
HTTPS プロキシサーバーの場合は、次の変数を設定します。
http_proxy=http://
hostname
:port
https_proxy=https://hostname
:port
-
昇格された (管理者) モードで Windows PowerShell を開きます。
-
Windows PowerShell に以下のコマンドブロックを貼り付けます。各
リソースプレースホルダーの例
をユーザー自身の情報に置き換えます。例えば、ハイブリッドアクティベーションの作成時に生成されたアクティベーションコードとアクティベーション ID、およびダウンロード元の の識別子 AWS リージョン などですSSM Agent。注記
次の重要な詳細に留意してください。
-
ssm-setup-cli
で、エージェントのダウンロード元を判断するmanifest-url
オプションがサポートされました。ご自身の組織で必要とされている場合を除き、このオプションには値を指定しないでください。 -
ここ
に記載されているスクリプトを使用して、 の署名を検証できます ssm-setup-cli
。 -
インスタンスを登録するときは、
ssm-setup-cli
用として指定されたダウンロードリンクのみを使用します。ssm-setup-cli
を今後の使用のために個別に保管しないでください。
region
は、米国東部 (オハイオ) リージョンの AWS リージョン など AWS Systems Manager、 でサポートされているus-east-2
の識別子を表します。サポートされているregion
値の一覧については、「Amazon Web Services 全般のリファレンス」の「Systems Manager サービスエンドポイント」にある Region 列を参照してください。さらに、
ssm-setup-cli
には次のオプションが含まれます。-
version
– 有効な値はlatest
およびstable
です。 -
downgrade
- エージェントを以前のバージョンに戻します。 -
skip-signature-validation
- エージェントをダウンロードおよびインストールする間の署名検証をスキップします。
-
-
Enter
キーを押します。
コマンドが以下の操作を行います。
-
SSM Agent をマシンにダウンロードしてインストールします。
-
マシンを Systems Manager サービスに登録します。
-
リクエストに対して次のようなレスポンスを返します。
Directory: C:\Users\ADMINI~1\AppData\Local\Temp\2 Mode LastWriteTime Length Name ---- ------------- ------ ---- d----- 07/07/2018 8:07 PM ssm {"ManagedInstanceID":"mi-008d36be46EXAMPLE","Region":"us-east-2"} Status : Running Name : AmazonSSMAgent DisplayName : Amazon SSM Agent
これで、マシンはマネージドノードになりました。これらのマネージドノードは、「mi-」というプレフィックスで識別されます。マネージドノードは、 のマネージドノードページでFleet Manager、 AWS CLI コマンド 、describe-instance-informationまたは API コマンド を使用して表示できますDescribeInstanceInformation。
プライベートキーの自動ローテーションを設定する
セキュリティ体制を強化するには、ハイブリッドおよびマルチクラウド環境のプライベートキーを自動的にローテーションするように AWS Systems Manager エージェント (SSM Agent) を設定できます。SSM Agent バージョン 3.0.1031.0 以降を使用すると、この機能にアクセスできます。次の手順に従ってこの機能を有効にします。
ハイブリッドおよびマルチクラウド環境のプライベートキーをローテーションするように SSM Agent を設定するには
-
Linux マシンでは
/etc/amazon/ssm/
、Windows Server マシンではC:\Program Files\Amazon\SSM
に移動します。 -
amazon-ssm-agent.json.template
の内容をamazon-ssm-agent.json
という名前の新ファイルにコピーします。amazon-ssm-agent.json.template
と同じディレクトリにamazon-ssm-agent.json
を保存します。 -
Profile
、KeyAutoRotateDays
を探す プライベートキーの自動ローテーション間隔の日数を入力します。 -
SSM Agent を再起動します。
設定を変更するたびに、SSM Agent を再起動します。
同じ手順を使用して、SSM Agent の他の機能をカスタマイズできます。使用可能な設定プロパティとそのデフォルト値 up-to-date のリストについては、「Config プロパティ定義
マネージドノードの登録解除と再登録
マネージドノードの登録を解除するには、 AWS CLI または Tools for Windows のいずれかから DeregisterManagedInstance API オペレーションを呼び出します PowerShell。以下に CLI コマンドの例を示します。
aws ssm deregister-managed-instance --instance-id
"mi-1234567890"
エージェントの残りの登録情報を削除するには、amazon-ssm-agent.json
ファイル内の IdentityConsumptionOrder
キーを削除します。次に、以下のコマンドを実行します。
amazon-ssm-agent -register -clear
マシンは、登録解除した後に再登録できます。マネージドノードとしてマシンを再登録するには、次の手順を使用します。手順を完了すると、マネージドノードがマネージドノードのリストに再び表示されます。
Windows ハイブリッドマシンでマネージドノードを再登録するには
-
マシンへ接続します。
-
以下のコマンドを実行します。必ずプレースホルダー値の代わりに、ハイブリッドのアクティベーションの作成時に生成されたアクティベーションコードとアクティベーション ID、および SSM Agent のダウンロード元のリージョンの識別子を入力します。
'yes' | & Start-Process ./ssm-setup-cli.exe -ArgumentList @("-register", "-activation-code=$code", "-activation-id=$id", "-region=$region") -Wait Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration") Get-Service -Name "AmazonSSMAgent"