AWS Systems Manager
Guia do usuário

Pré-requisitos do Systems Manager

O AWS Systems Manager ajuda você a configurar e gerenciar instâncias do Amazon EC2, servidores e máquinas virtuais (VMs) locais e outros recursos da AWS em escala.

Esta seção descreve os pré-requisitos para instalar e configurar suas instâncias do Amazon EC2 e servidores ou VMs locais para o Systems Manager. Esta seção usa o termo instância gerenciada para descrever instâncias do EC2 ou servidores e VMs locais que estão configurados para o Systems Manager.

Importante

Para começar a usar o Systems Manager, recomendamos que você saiba mais sobre os seguintes serviços da AWS. Um conhecimento prático desses serviços é essencial para configurar e usar o Systems Manager com êxito.

  • O Amazon Elastic Compute Cloud (Amazon EC2) fornece capacidade de computação escalável na Nuvem AWS. Para obter mais informações, consulte O que é o Amazon EC2? (Linux) e O que o é o Amazon EC2? (Windows).

  • O AWS Identity and Access Management (IAM) é um serviço da web que ajuda você a controlar o acesso aos recursos da AWS de forma segura. Para obter mais informações, consulte O que é IAM? em IAM User Guide.

Sistema operacional

Há suporte do AWS Systems Manager para os seguintes sistemas operacionais.

Tipos de sistema operacional

Windows Server

Versão Intel 32 bits (x86) Intel 64 bits (x86_64) ARM 64 bits (arm64)
2003 e 2003 R2
2008
2008 R2
2012 e 2012 R2
2016
2019

Linux

Amazon Linux

Versões Intel 32 bits (x86) Intel 64 bits (x86_64) ARM 64 bits (arm64)
2012.03 – 2018.03

nota

Desde a versão 2015.03, Amazon Linux é lançado apenas nas versões Intel 64 bits (x86_64).

Amazon Linux 2

Versões Intel 32 bits (x86) Intel 64 bits (x86_64) ARM 64 bits (arm64)
2.0 e todas as versões posteriores

Ubuntu Server

Versões Intel 32 bits (x86) Intel 64 bits (x86_64) ARM 64 bits (arm64)
12.04 LTS e 14.04 LTS
16.04 LTS e 18.04 LTS

Red Hat Enterprise Linux (RHEL)

Versões Intel 32 bits (x86) Intel 64 bits (x86_64) ARM 64 bits (arm64)
6.0
6.5
6.9
7.0
7.4
7,5
7.6

CentOS

Versões Intel 32 bits (x86) Intel 64 bits (x86_64) ARM 64 bits (arm64)
6.0
6.3 e as versões posteriores a 6.x
7.1 e as versões posteriores a 7.x

SUSE Linux Enterprise Server (SLES)

Versões Intel 32 bits (x86) Intel 64 bits (x86_64) ARM 64 bits (arm64)
12 e as versões posteriores a 12.x

Raspbian

Versão ARM 32 bits (arm)
Jessie
Stretch

Agente do SSM

Agente do SSM é a ferramenta que processa solicitações do Systems Manager e configura sua máquina conforme especificado na solicitação. Agente do SSM deve ser instalado em cada instância que você deseja usar com o Systems Manager. Em alguns tipos de instância, Agente do SSM é instalado por padrão. Em outras, você deve instalá-lo manualmente, conforme descrito na tabela a seguir.

nota

Uma versão atualizada do Agente do SSM é lançada sempre que novos recursos são adicionados ao Systems Manager ou sempre que atualizações são feitas nos recursos existentes. Se uma versão mais antiga do agente estiver em execução em uma instância, alguns processos do Agente do SSM poderão falhar. Por esse motivo, recomendamos que você automatize o processo de manutenção do Agente do SSM atualizado nas suas instâncias. Para obter mais informações, consulte .

Tipo de sistema operacional Descrição
Windows

O Agente do SSM é instalado por padrão em instâncias do Windows Server 2016 e 2019, bem como em instâncias criadas em AMIs do Windows Server 2019 R2 publicadas em novembro de 2003-2012 ou posteriormente.

As AMI Windows publicadas antes de novembro de 2016 usam o serviço EC2Config para processar solicitações e configurar instâncias.

A menos que você tenha um motivo específico para usar o serviço EC2Config ou uma versão anterior do Agente do SSM para processar solicitações do Systems Manager, recomendamos que você faça download e instale a versão mais recente do Agente do SSM para cada uma das suas instâncias do Amazon EC2 ou instâncias gerenciadas (servidores e máquinas virtuais (VMs) em um ambiente híbrido). Para obter mais informações, consulte Instalar e configurar o Agente do SSMem instâncias do Windows.

Linux Por padrão, o Agente do SSM é instalado em AMIs de base do EC2 Amazon Linux, Amazon Linux 2, Ubuntu Server 16.04 e Ubuntu Server 18.04 LTS. Você deve instalar manualmente o Agente do SSM em outras versões do EC2 Linux, incluindo imagens que não sejam base, como AMI otimizadas para o Amazon ECS. Para obter mais informações, consulte Instalar e configurar o Agente do SSM em instâncias do Linux Amazon EC2.
Servidores e VMs locais

O Agente do SSM deve ser instalado manualmente em servidores locais e VMs que você deseja usar em um ambiente híbrido. O processo de download e instalação do Agente do SSM para essas máquinas é diferente do processo usado para as instâncias do Amazon EC2. Para obter mais informações, consulte Instalar o Agente do SSM em servidores e máquinas virtuais em um ambiente Windows híbrido.

nota

O código-fonte para o Agente do SSM está disponível no GitHub para que você possa adaptar o agente de modo que atenda às suas necessidades. Incentivamos o envio de solicitações pull para alterações que você gostaria de incluir. No entanto, a Amazon Web Services atualmente não oferece suporte para executar cópias modificadas desse software.

VPC endpoint de interface ou acesso à Internet

Para que suas instâncias gerenciadas e o serviço Systems Manager se comuniquem, você deve executar uma das seguintes ações:

  • Configurar o Systems Manager para usar um Virtual Private Cloud (VPC) endpoint de interface

  • Habilitar o acesso à Internet de saída em suas instâncias gerenciadas

nota

Habilitar o acesso de entrada à Internet não é necessário.

Para melhorar a postura de segurança de sua instância gerenciada, recomendamos que você configure o Systems Manager para usar um VPC endpoint para a interface. Os endpoints da interface são habilitados pelo PrivateLink, tecnologia que permite que você acesse privadamente APIs do Amazon EC2 e Systems Manager usando endereços IP privados. O PrivateLink restringe todo o tráfego de rede entre instâncias gerenciadas, o Systems Manager e o EC2 para a rede da Amazon (as instâncias gerenciadas não têm acesso à Internet). Além disso, você não precisa de um Internet gateway, de um dispositivo NAT ou de um gateway privado virtual. Para obter mais informações, consulte Configuração de VPC endpoints VPC para o Systems Manager. Para obter mais informações sobre PrivateLink e VPC endpoints, consulte Acesso a serviços da AWS por meio do PrivateLink.

Certificado do TLS

Cada instância gerenciada deve ter um dos seguintes certificados Transport Layer Security (TLS) instalado.

  • Amazon Root CA 1

  • Starfield Services Root Certificate Authority – G2

  • Starfield Class 2 Certificate Authority

Os serviços da AWS usam esses certificados para criptografar chamadas para outros serviços da AWS. Um desses certificados é instalado, por padrão, em todas as Imagens de máquina da Amazon (AMIs). Para sistemas operacionais básicos, ou sistemas em seu ambiente local, você deve instalar e habilitar um desses certificados dos Serviços de confiança da Amazon. Se os certificados em seu ambiente de computação forem gerenciados por um Group Policy Object (GPO - Objeto de política de grupo), poderá ser necessário configurar a política de grupo para incluir um desses certificados. Para obter mais informações sobre os certificados Amazon Root e Starfield, consulte Como preparar-se para a mudança da AWS para sua própria autoridade de certificação.

Configuração de acesso do Systems Manager

A configuração do acesso ao Systems Manager exige que você execute as seguintes tarefas:

Para obter mais informações sobre permissões de acesso ao Systems Manager, consulte Autenticação e controle de acesso do AWS Systems Manager.

Windows PowerShell

Nas instâncias do Windows Server, o Windows PowerShell 3.0 ou posterior é necessário para executar determinados documentos do SSM (por exemplo, o documento AWS-ApplyPatchBaseline). Verifique se as suas instâncias do Windows estão executando o Windows Management Framework 3.0 ou posterior. A estrutura inclui o PowerShell.

Regiões da AWS

O AWS Systems Manager está disponível nas regiões da AWS listadas na tabela Regiões da AWS Systems Manager com suporte no AWS General Reference. Antes de iniciar o processo de configuração do Systems Manager, recomendamos que você verifique se o serviço está disponível em cada uma das regiões da AWS em que você deseja usá-lo.

Para servidores e VMs em seu ambiente híbrido, recomendamos escolher a região mais próxima de seu datacenter ou ambiente de computação.

(Opcional) Monitoramento e as notificações

Você pode configurar o Amazon CloudWatch Events para registrar alterações de execução de status dos comandos que você envia usando o Systems Manager. Também é possível configurar o Amazon Simple Notification Service (Amazon SNS) para enviar notificações sobre alterações específicas do status de comandos. O uso de monitoramento e notificações é opcional, mas recomendamos configurá-los no início do seu processo de configuração do Systems Manager caso tenha decidido usar qualquer um deles. Para obter mais informações, consulte Noções básicas sobre status de comando.

(Opcional) Bucket de armazenamento do Amazon S3

A saída do comando no console do Systems Manager é truncada após 2500 caracteres. Para acessar os logs de saída completos, você pode armazenar a saída do Systems Manager em um bucket do Amazon Simple Storage Service (Amazon S3). Você também pode criar um prefixo de chaves Amazon S3 (uma subpasta) para ajudá-lo a organizar a saída de log. Salvar os dados de log de saída em um bucket do S3 é opcional, mas recomendamos configurá-los no início do seu processo de configuração do Systems Manager caso tenha decidido usá-los. Para obter mais informações, acesse Criar um bucket.

Para obter informações sobre os limites do Systems Manager, consulte Limites do AWS Systems Manager.