ステップ 4: ハイブリッドおよびマルチクラウド環境に SSM Agent をインストールする (Windows) - AWS Systems Manager
プライベートキーの自動ローテーションを設定するマネージドノードの登録解除と再登録

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 4: ハイブリッドおよびマルチクラウド環境に SSM Agent をインストールする (Windows)

このトピックでは、ハイブリッドおよびマルチクラウド環境の Windows Server マシンに SSM Agent をインストールする方法について説明します。ハイブリッドおよびマルチクラウド環境で非 EC2 Linux マシンを使用する場合は、前のステップ「ステップ 3: ハイブリッドおよびマルチクラウド環境 (Linux) に SSM Agent をインストールする」を参照してください。

重要

この手順は、ハイブリッドおよびマルチクラウド環境の非 EC2 (Amazon Elastic Compute Cloud) マシンを対象としています。Windows Server の EC2 インスタンスに SSM Agent をダウンロードしてインストールするには、Windows Server 用 EC2 インスタンスで SSM Agent を使用する を参照してください。

開始する前に、ステップ 2: ハイブリッドおよびマルチクラウド環境用のハイブリッドアクティベーションを作成する でハイブリッドのアクティベーションを先ほど完了した後に送信されたアクティベーションコードとアクティベーション ID を見つけます。このコードと ID を次の手順で指定します。

ハイブリッドおよびマルチクラウド環境の非 EC2 Windows Server マシンに SSM Agent をインストールするには

  1. ハイブリッドおよびマルチクラウド環境のサーバーまたは VM にログオンします。

  2. HTTP または HTTPS プロキシを使用する場合は、現在のシェルセッションで http_proxy または https_proxy の環境変数を設定する必要があります。プロキシを使用していない場合は、この手順を省略できます。

    HTTP プロキシサーバーの場合は、次の変数を設定します。

    http_proxy=http://hostname:port
https_proxy=http://hostname:port

    HTTPS プロキシサーバーの場合は、次の変数を設定します。

    http_proxy=http://hostname:port
https_proxy=https://hostname:port

  3. 昇格された (管理者) モードで Windows PowerShell を開きます。

  4. Windows PowerShell に以下のコマンドブロックを貼り付けます。各リソースプレースホルダーの例をユーザー自身の情報に置き換えます。例えば、ハイブリッドアクティベーションの作成時に生成されたアクティベーションコードとアクティベーション ID、およびダウンロード元の の識別子 AWS リージョン などですSSM Agent。

    注記

    次の重要な詳細に留意してください。

    • ssm-setup-cli で、エージェントのダウンロード元を判断する manifest-url オプションがサポートされました。ご自身の組織で必要とされている場合を除き、このオプションには値を指定しないでください。

    • ここに記載されているスクリプトを使用して、 の署名を検証できますssm-setup-cli

    • インスタンスを登録するときは、ssm-setup-cli 用として指定されたダウンロードリンクのみを使用します。ssm-setup-cli を今後の使用のために個別に保管しないでください。

    region は、米国東部 (オハイオ) リージョンの AWS リージョン など AWS Systems Manager、 でサポートされている us-east-2の識別子を表します。サポートされている region 値の一覧については、「Amazon Web Services 全般のリファレンス」の「Systems Manager サービスエンドポイント」にある Region 列を参照してください。

    さらに、ssm-setup-cli には次のオプションが含まれます。

    • version – 有効な値は latest および stable です。

    • downgrade - エージェントを以前のバージョンに戻します。

    • skip-signature-validation - エージェントをダウンロードおよびインストールする間の署名検証をスキップします。

    64-bit
    [System.Net.ServicePointManager]::SecurityProtocol = 'TLS12'
$code = "activation-code"
$id = "activation-id"
$region = "us-east-1"
$dir = $env:TEMP + "\ssm"
New-Item -ItemType directory -Path $dir -Force
cd $dir
(New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_amd64/ssm-setup-cli.exe", $dir + "\ssm-setup-cli.exe")
./ssm-setup-cli.exe -register -activation-code="$code" -activation-id="$id" -region="$region"
Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration")
Get-Service -Name "AmazonSSMAgent"
    32-bit
    "[System.Net.ServicePointManager]::SecurityProtocol = 'TLS12'"
$code = "activation-code"
$id = "activation-id"
$region = "us-east-1"
$dir = $env:TEMP + "\ssm"
New-Item -ItemType directory -Path $dir -Force
cd $dir
(New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_386/ssm-setup-cli.exe", $dir + "\ssm-setup-cli.exe")
./ssm-setup-cli.exe -register -activation-code="$code" -activation-id="$id" -region="$region"
Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration")
Get-Service -Name "AmazonSSMAgent"

  5. Enter キーを押します。

コマンドが以下の操作を行います。

  • SSM Agent をマシンにダウンロードしてインストールします。

  • マシンを Systems Manager サービスに登録します。

  • リクエストに対して次のようなレスポンスを返します。

        Directory: C:\Users\ADMINI~1\AppData\Local\Temp\2


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
d-----       07/07/2018   8:07 PM                ssm
{"ManagedInstanceID":"mi-008d36be46EXAMPLE","Region":"us-east-2"}

Status      : Running
Name        : AmazonSSMAgent
DisplayName : Amazon SSM Agent

これで、マシンはマネージドノードになりました。これらのマネージドノードは、「mi-」というプレフィックスで識別されます。マネージドノードは、 のマネージドノードページでFleet Manager、 AWS CLI コマンド 、describe-instance-informationまたは API コマンド を使用して表示できますDescribeInstanceInformation

プライベートキーの自動ローテーションを設定する

セキュリティ体制を強化するには、ハイブリッドおよびマルチクラウド環境のプライベートキーを自動的にローテーションするように AWS Systems Manager エージェント (SSM Agent) を設定できます。SSM Agent バージョン 3.0.1031.0 以降を使用すると、この機能にアクセスできます。次の手順に従ってこの機能を有効にします。

ハイブリッドおよびマルチクラウド環境のプライベートキーをローテーションするように SSM Agent を設定するには

  1. Linux マシンでは /etc/amazon/ssm/、Windows Server マシンでは C:\Program Files\Amazon\SSM に移動します。

  2. amazon-ssm-agent.json.template の内容を amazon-ssm-agent.json という名前の新ファイルにコピーします。amazon-ssm-agent.json.template と同じディレクトリに amazon-ssm-agent.json を保存します。

  3. ProfileKeyAutoRotateDays を探す プライベートキーの自動ローテーション間隔の日数を入力します。

  4. SSM Agent を再起動します。

設定を変更するたびに、SSM Agent を再起動します。

同じ手順を使用して、SSM Agent の他の機能をカスタマイズできます。使用可能な設定プロパティとそのデフォルト値 up-to-date のリストについては、「Config プロパティ定義」を参照してください。

マネージドノードの登録解除と再登録

マネージドノードの登録を解除するには、 AWS CLI または Tools for Windows のいずれかから DeregisterManagedInstance API オペレーションを呼び出します PowerShell。以下に CLI コマンドの例を示します。

aws ssm deregister-managed-instance --instance-id "mi-1234567890"

エージェントの残りの登録情報を削除するには、amazon-ssm-agent.json ファイル内の IdentityConsumptionOrder キーを削除します。次に、以下のコマンドを実行します。

amazon-ssm-agent -register -clear

マシンは、登録解除した後に再登録できます。マネージドノードとしてマシンを再登録するには、次の手順を使用します。手順を完了すると、マネージドノードがマネージドノードのリストに再び表示されます。

Windows ハイブリッドマシンでマネージドノードを再登録するには

  1. マシンへ接続します。

  2. 以下のコマンドを実行します。必ずプレースホルダー値の代わりに、ハイブリッドのアクティベーションの作成時に生成されたアクティベーションコードとアクティベーション ID、および SSM Agent のダウンロード元のリージョンの識別子を入力します。

    'yes' | & Start-Process ./ssm-setup-cli.exe -ArgumentList @("-register", "-activation-code=$code", "-activation-id=$id", "-region=$region") -Wait
Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration")
Get-Service -Name "AmazonSSMAgent"