Etapa 1: Concluir os pré-requisitos do Session Manager

Antes de usar o Session Manager, verifique se seu ambiente atende aos requisitos a seguir.

Pré-requisitos da Session Manager
Requisito	Descrição
Sistemas operacionais compatíveis	O Session Manager é compatível com a conexão às instâncias do Amazon Elastic Compute Cloud (Amazon EC2), além de máquinas que não são do EC2, em seu ambiente híbrido e multinuvem que usa o nível de instâncias avançadas. O Session Manager oferece suporte às seguintes versões de sistemas operacionais: nota O Session Manager é compatível com as instâncias do EC2, com os dispositivos de borda, com os servidores on-premises e com as máquinas virtuais (VMs) no ambiente híbrido e multinuvem que usa o nível de instâncias avançadas. Para obter mais informações sobre instâncias avançadas, consulte Configurar níveis de instâncias. Linux e macOS O Session Manager é compatível com todas as versões do Linux e do macOS que forem compatíveis com o AWS Systems Manager. Para ter mais informações, consulte Sistemas operacionais e tipos de máquinas compatíveis. Windows O Session Manager é compatível com Windows Server 2012 até Windows Server 2022. nota O Microsoft Windows Server 2016 Nano não é compatível.
SSM Agent	No mínimo a versão 2.3.68.0 do AWS Systems Manager SSM Agent ou posterior deve ser instalada nos nós gerenciados aos quais você quer se conectar por meio de sessões. Para usar a opção de criptografar dados da sessão usando uma chave criada no AWS Key Management Service (AWS KMS), a versão 2.3.539.0 ou posterior do SSM Agent deve ser instalada em seu nó gerenciado. Para usar perfis de shell em uma sessão, a versão 3.0.161.0 ou posterior do SSM Agent deve ser instalada em seu nó gerenciado. Para iniciar um encaminhamento da porta do Session Manager ou uma sessão SSH, a versão 3.0.222.0 ou posterior do SSM Agent deve ser instalada em seu nó gerenciado. Para transmitir dados da sessão usando o Amazon CloudWatch Logs, a versão 3.0.284.0 ou posterior do SSM Agent deve ser instalada em seu nó gerenciado. Para obter informações sobre como determinar o número da versão em execução em uma instância, consulte Verificar o número de versão do SSM Agent. Para obter informações sobre como instalar manualmente ou atualizar automaticamente o SSM Agent, consulte Trabalhar com o SSM Agent. Sobre a conta ssm-user A partir da versão 2.3.50.0 do SSM Agent, o agente cria uma conta de usuário em seu nó gerenciado, com permissões de administrador ou de raiz, chamada de ssm-user. (Em versões anteriores a 2.3.612.0, a conta é criada quando o SSM Agent inicia ou reinicia. Na versão 2.3.612.0 e posteriores, o ssm-user é criado na primeira vez que uma sessão for iniciada em um nó gerenciado.) As sessões são executadas usando as credenciais administrativas da conta de usuário. Para obter mais informações sobre como restringir o controle administrativo para esta conta, consulte Desativar ou ativar permissões administrativas da conta ssm-user. ssm-user em controladores de domínio do Windows Server Começando com o SSM Agent versão 2.3.612.0, a conta do ssm-user não é criada automaticamente em nós usados como controladores de domínio do Windows Server. Para usar o Session Manager em uma máquina Windows Server usada como controlador de domínio, crie a conta ssm-user manualmente, caso ela ainda não esteja presente, e atribua permissões de Administrador do Domínio ao usuário. No Windows Server, o SSM Agent define uma nova senha para a conta ssm-user sempre que uma sessão é iniciada e, portanto, você não precisa especificar uma senha ao criar a conta.
Conectividade com endpoints	Os nós gerenciados aos quais você se conecta devem permitir o tráfego de saída HTTPS (porta 443) para os seguintes endpoints: ec2messages.region.amazonaws.com ssm.region.amazonaws.com ssmmessages.region.amazonaws.com Para obter mais informações, consulte os tópicos a seguir. Referência: ec2messages, ssmmessages e outras operações da API Como criar endpoints da VPC para poder usar o Systems Manager para gerenciar instâncias do EC2 privadas sem acesso à Internet? no Centro de Conhecimento da AWS re:Post. Como alternativa, você pode se conectar aos endpoints necessários usando endpoints da interface. Para ter mais informações, consulte Etapa 6: (Opcional) Usar o AWS PrivateLink para configurar um endpoint da VPC para o Session Manager.
AWS CLI	(Opcional) Se você usar a AWS Command Line Interface (AWS CLI) para iniciar as sessões (em vez de usar o console da AWS Systems Manager ou o console do Amazon EC2), a versão 1.16.12 ou posterior da CLI deve estar instalada em sua máquina local. Você pode chamar o aws --version para verificar a versão. Se você precisar instalar ou atualizar a CLI, consulte Instalação do AWS Command Line Interface no Guia do usuário do AWS Command Line Interface. Importante Uma versão atualizada do SSM Agent é lançada sempre que novos recursos são adicionados ao Systems Manager ou sempre que atualizações forem feitas nos recursos existentes. Deixar de usar a versão mais recente do agente pode impedir que seu nó gerenciado use vários recursos do Systems Manager. Por isso, recomendamos automatizar o processo de manter o SSM Agent atualizado em suas máquinas. Para ter mais informações, consulte Automatizar atualizações do SSM Agent. Inscreva-se na página Notas de versão do SSM Agent no GitHub para receber notificações sobre atualizações do SSM Agent. Além disso, para usar a CLI para gerenciar seus nós com o Session Manager, você deve primeiro instalar o plugin do Session Manager em sua máquina local. Para ter mais informações, consulte Instalar o plug-in do Session Manager para a AWS CLI.
Ative o nível de instâncias avançadas (ambientes híbridos e multinuvem)	Para conectar-se a máquinas que não são do EC2 usando o Session Manager, você deve ativar o nível de instâncias avançadas na Conta da AWS e Região da AWS onde você cria ativações híbridas para registrar máquinas que não são do EC2 como nós gerenciados. Há uma cobrança para o uso do nível de instâncias avançadas. Para obter mais informações sobre o nível de instâncias avançadas, consulte Configurar níveis de instâncias.
Verifique as permissões de perfil de serviço do IAM (ambientes híbridos e multinuvem)	Os nós ativados para ambientes híbridos usam o perfil de serviço do AWS Identity and Access Management (IAM) especificado na ativação híbrida para se comunicar com as operações da API do Systems Manager. Esse perfil de serviço deve conter as permissões necessárias para se conectar às suas máquinas híbridas e multinuvem usando o Session Manager. Se sua função de serviço contém a política gerenciada AmazonSSMManagedInstanceCore da AWS, as permissões necessárias para o Session Manager já estão fornecidas. Se você achar que a função de serviço não contém as permissões necessárias, você deverá cancelar o registro da instância gerenciada e registrá-la com uma nova ativação híbrida que usa uma função de serviço do IAM com as permissões necessárias. Para obter mais informações sobre como cancelar o registro de instâncias gerenciadas, consulte Cancelar o registro de nós gerenciados em um ambiente híbrido e multinuvem. Para obter mais informações sobre como criar políticas do IAM com permissões do Session Manager, consulte Etapa 2: verificar ou adicionar permissões de instância para o Session Manager.