ステップ 5: ハイブリッド環境に SSM Agent をインストールする (Windows)
このトピックでは、ハイブリッド環境の Windows Server マシンに SSM Agent をインストールする方法について説明します。ハイブリッド環境で Linux マシンを使用する場合は、前のステップ「ステップ 4: ハイブリッド環境 (Linux) に SSM Agent をインストール」を参照してください。
この手順では、オンプレミス環境やハイブリッド環境のサーバーおよび仮想マシン (VM) を対象としています。Windows Server の EC2 インスタンスに SSM Agent をダウンロードしてインストールするには、Windows Server 用 EC2 インスタンスで SSM Agent を使用する を参照してください。
開始する前に、ステップ 3: ハイブリッド環境用のマネージドインスタンスのアクティベーションを作成 でマネージドインスタンスのアクティベーションを先ほど完了した後に送信されたアクティベーションコードとアクティベーション ID を見つけます。このコードと ID を次の手順で指定します。
ハイブリッド環境のサーバーおよび VM に SSM Agent をインストールするには
-
ハイブリッド環境のサーバーまたは VM にログオンします。
-
HTTP または HTTPS プロキシを使用する場合は、現在のシェルセッションで
http_proxy
またはhttps_proxy
の環境変数を設定する必要があります。プロキシを使用していない場合は、この手順を省略できます。HTTP プロキシサーバーの場合は、次の変数を設定します。
http_proxy=http://
hostname
:port
https_proxy=http://hostname
:port
HTTPS プロキシサーバーの場合は、次の変数を設定します。
http_proxy=http://
hostname
:port
https_proxy=https://hostname
:port
-
昇格された (管理者) モードで Windows PowerShell を開きます。
-
Windows PowerShell に以下のコマンドブロックをコピーして貼り付けます。各
リソースプレースホルダーの例
をユーザー自身の情報に置き換えます。例えば、マネージドインスタンスのアクティベーションの作成時に生成されたアクティベーションコードとアクティベーション ID、および SSM Agent のダウンロード元の AWS リージョン の識別子です。リージョン
は、米国東部 (オハイオ) リージョンのus-east-2
のように、AWS Systems Manager でサポートされている AWS リージョン の識別子を表します。サポートされているregion
値の一覧については、アマゾン ウェブ サービスの全般リファレンスの「Systems Manager サービスエンドポイント」にある Region 列を参照してください。 -
Enter キーを押します。
コマンドが以下の操作を行います。
-
サーバーまたは VM に SSM Agent をダウンロードしてインストールします。
-
サーバーまたは VM を Systems Manager サービスに登録します。
-
リクエストに対して次のようなレスポンスを返します。
Directory: C:\Users\ADMINI~1\AppData\Local\Temp\2 Mode LastWriteTime Length Name ---- ------------- ------ ---- d----- 07/07/2018 8:07 PM ssm {"ManagedInstanceID":"mi-008d36be46EXAMPLE","Region":"us-east-2"} Status : Running Name : AmazonSSMAgent DisplayName : Amazon SSM Agent
これで、サーバーまたは VM はマネージドインスタンスになりました。これらのインスタンスは、"mi-" というプレフィックスで識別されます。AWS CLI コマンド describe-instance-information、または API コマンド DescribeInstanceInformation を使用することで Fleet Manager コンソールの [Managed instances] (マネージドインスタンス) ページでマネージドインスタンスを閲覧できます。
プライベートキーの自動ローテーションを設定する
セキュリティポスチャを強化するには、AWS Systems Manager Agent (SSM Agent) を設定して、ハイブリッド環境のプライベートキーを自動的にローテーションさせます。SSM Agent バージョン 3.0.1031.0 以降を使用すると、この機能にアクセスできます。次の手順に従ってこの機能を有効にします。
ハイブリッド環境のプライベートキーをローテーションするように SSM Agent を設定するには
-
Linux マシンで
/etc/amazon/ssm/
、または Windows マシンではC:\Program Files\Amazon\SSM
に移動します。 -
amazon-ssm-agent.json.template
の内容をamazon-ssm-agent.json
という名前の新ファイルにコピーします。amazon-ssm-agent.json.template
と同じディレクトリにamazon-ssm-agent.json
を保存します。 -
Profile
、KeyAutoRotateDays
を探す プライベートキーの自動ローテーション間隔の日数を入力します。 -
SSM Agent を再起動します。
設定を変更するたびに、SSM Agent を再起動します。
同じ手順を使用して、SSM Agent の他の機能をカスタマイズできます。使用可能な設定プロパティとそのデフォルト値の最新リストについては、「Config Property Definitions
マネージドインスタンスの登録解除と再登録
マネージドインスタンスの登録を解除するには、 AWS CLI または Tools for Windows PowerShell のいずれかから DeregisterManagedInstance API オペレーションを呼び出します。以下に CLI コマンドの例を示します。
aws ssm deregister-managed-instance --instance-id
"mi-1234567890"
マネージドインスタンスは、登録解除した後に再登録できます。マネージドインスタンスを再登録するには、以下の手順を使用します。手順を完了すると、マネージドインスタンスがマネージドインスタンスのリストに再び表示されます。
Windows ハイブリッドマシンにマネージインスタンスを再登録するには
-
以下のコマンドを実行します。必ずプレースホルダー値の代わりに、マネージドインスタンスのアクティベーションの作成時に生成されたアクティベーションコードとアクティベーション ID、および SSM Agent のダウンロード元のリージョンの識別子を入力します。
'yes' | & 'C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe' -register -code
activation-code
-idactivation-id
-regionregion
; Restart-Service AmazonSSMAgent