Documentação da AWS » AWS Systems Manager » Guia do usuário » Trabalhar com o Agente do SSM

Trabalhar com o Agente do SSM

AWS Systems Manager Agent (Agente do SSM) is Amazon software that can be installed and configured on an Amazon EC2 instance, an on-premises server, or a virtual machine (VM). Agente do SSM makes it possible for Systems Manager to update, manage, and configure these resources. The agent processes requests from the Systems Manager service in the AWS Cloud, and then runs them as specified in the request. Agente do SSM then sends status and execution information back to the Systems Manager service by using the Amazon Message Delivery Service (service prefix: ec2messages).

Se você monitorar seu tráfego, verá suas instâncias do Amazon EC2, bem como todas as VMs ou todos os servidores no local no seu ambiente híbrido, comunicando-se com endpoints ec2messages.*. Para obter mais informações, consulte Referência: ec2messages, ssmmessages e outras chamadas de API. Para obter mais informações sobre a transferência de logs do Agente do SSM para o Amazon CloudWatch Logs, consulte Monitorar o AWS Systems Manager.

Manter o Agente do SSM atualizado

Uma versão atualizada do Agente do SSM é lançada sempre que novos recursos são adicionados ao Systems Manager ou sempre que atualizações são feitas nos recursos existentes. Se uma versão mais antiga do agente estiver em execução em uma instância, alguns processos do Agente do SSM poderão falhar. Por esse motivo, recomendamos que você automatize o processo de manutenção do Agente do SSM atualizado nas suas instâncias. Para obter mais informações, consulte Automatizar atualizações do Agente do SSM.

nota

As AMIs que incluem o Agente do SSM por padrão podem demorar até duas semanas para serem atualizadas com a versão mais recente do Agente do SSM. Recomendamos que você configure atualizações automatizadas ainda mais frequentes para o Agente do SSM.

Versões atualizadas de Agente do SSM são lançadas para novas regiões da AWS em diferentes momentos. Por esse motivo, você pode receber o erro "Não suportado na plataforma atual" ao tentar implantar uma nova versão do Agente do SSM em uma região.

Sobre a conta local ssm-user

Começando na versão 2.3.50.0 do Agente do SSM, o agente cria uma conta de usuário local chamada ssm-user e a adiciona ao /etc/sudoers (Linux) ou ao grupo de Administradores (Windows). Em versões do agente anteriores a 2.3.612.0, a conta é criada na primeira vez que o Agente do SSM é iniciado ou reiniciado após a instalação. Na versão 2.3.612.0 e posteriores, a conta ssm-user é criada na primeira vez que uma sessão é iniciada em uma instância. ssm-user é o usuário padrão do sistema operacional quando uma sessão do Session Manager é iniciada. É possível alterar as permissões movendo ssm-user para um grupo com menos privilégios ou alterando o arquivo sudoers. A conta ssm-user não é removida do sistema quando o Agente do SSM é desinstalado.

No Windows Server, o Agente do SSM lida com a configuração de uma nova senha para a conta ssm-user quando cada sessão começa. Nenhuma senha é definida para ssm-user em instâncias gerenciadas do Linux.

Começando com o Agente do SSM versão 2.3.612.0, a conta ssm-user não é criada automaticamente em máquinas Windows Server usadas como controladores de domínio. Para usar o Session Manager em um controlador de domínio do Windows Server, você deve criar a conta ssm-user manualmente, caso ela ainda não esteja presente.

Importante

Para que a conta ssm-user seja criada, o perfil de instância anexado à instância deve fornecer as permissões necessárias. Para obter informações, consulte Verify or Create an IAM Instance Profile with Session Manager Permissions.

AMIs com o Agente do SSM pré-instalado

Por padrão, o Agente do SSM é pré-instalado nas seguintes imagens de máquina da Amazon (AMIs):

• Windows Server 2003-2012 R2 AMIs published in November 2016 or later

• Windows Server 2016 and 2019

• Amazon Linux

• Amazon Linux 2

• Ubuntu Server 16.04

• Ubuntu Server 18.04

Você deve instalar manualmente o Agente do SSM em instâncias do Amazon EC2 criadas a partir de outras AMIs do Linux, incluindo imagens que não sejam de base, como AMIs otimizadas para o Amazon ECS. Você também deve instalar manualmente o Agente do SSM em servidores ou VMs locais no seu ambiente híbrido. Para obter mais informações, consulte Configurar ambientes híbridos do AWS Systems Manager.

Agente do SSM no GitHub

O código-fonte para o Agente do SSM está disponível no GitHub para que você possa adaptar o agente de modo que atenda às suas necessidades. Incentivamos o envio de solicitações pull para alterações que você gostaria de incluir. No entanto, a Amazon Web Services atualmente não oferece suporte para executar cópias modificadas desse software.

Tópicos

• Instalar e configurar o Agente do SSMem instâncias do Windows
• Instalar e configurar o Agente do SSM em instâncias do Linux Amazon EC2
• Restrinja o acesso aos comandos em nível raiz por meio do Agente do SSM
• Automatizar atualizações do Agente do SSM
• Assinar notificações sobre o Agente do SSM
• Sobre as permissões mínimas de buckets do S3 para o Agente do SSM