Installazione di SSM Agent su nodi ibridi di Windows Server - AWS Systems Manager
Impostazione della rotazione automatica della chiave privataAnnullamento della registrazione e nuova registrazione di un nodo gestito (Windows Server)

• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la documentazione di Amazon CloudWatch Dashboard.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Installazione di SSM Agent su nodi ibridi di Windows Server

Questo argomento descrive come eseguire l'installazione AWS Systems Manager SSM Agent su Windows Server macchine in un ambiente ibrido e multicloud. Per informazioni sull'installazione di SSM Agent su istanze EC2 per Windows Server consultare Installazione e disinstallazione manuale di SSM Agent su istanze EC2 per Windows Server.

Prima di iniziare, individua il codice e l'ID di attivazione generati durante il processo di attivazione ibrida, come descritto in Crea un'attivazione ibrida per registrare i nodi con Systems Manager. È possibile specificare il codice e l'ID nella procedura seguente.

Per installare SSM Agent su macchine Windows Server non EC2 in un ambiente ibrido e multicloud

  1. Accedi a un server o una macchina virtuale all'interno dell'ambiente ibrido e multicloud.

  2. Se si utilizza un proxy HTTP o HTTPS, è necessario impostare l'http_proxyohttps_proxynella sessione della shell corrente. Se non utilizzi un proxy, questa fase può essere ignorata.

    Per un server proxy HTTP, impostare la variabile seguente:

    http_proxy=http://hostname:port
https_proxy=http://hostname:port

    Per un server proxy HTTPS, impostare questa variabile:

    http_proxy=http://hostname:port
https_proxy=https://hostname:port

    Per PowerShell, configura le impostazioni del INet proxy Win:

    [System.Net.WebRequest]::DefaultWebProxy

$proxyServer = "http://hostname:port"
$proxyBypass = "169.254.169.254"
$WebProxy = New-Object System.Net.WebProxy($proxyServer,$true,$proxyBypass)

[System.Net.WebRequest]::DefaultWebProxy = $WebProxy
    Nota

    La configurazione INet del proxy Win è necessaria per PowerShell le operazioni. Per ulteriori informazioni, consulta Impostazioni del proxy di SSM Agent e servizi di Systems Manager.

  3. Apri Windows PowerShell come amministratore.

  4. Copia e incolla il seguente blocco di comandi in Windows PowerShell. Sostituisci ogni example resource placeholder con le tue informazioni. Ad esempio, il codice di attivazione e l'ID di attivazione generati quando si crea un'attivazione ibrida e con l'identificatore SSM Agent da Regione AWS cui si desidera effettuare il download.

    Importante

    Tieni presenti queste importanti informazioni relative a questo processo:

    • L'utilizzo di ssm-setup-cli per installazioni non EC2 massimizza la sicurezza dell'installazione e della configurazione di Systems Manager.

    • La ssm-setup-cli supporta un'opzione manifest-url che determina l'origine da cui viene scaricato l'agente. Non specificare un valore per questa opzione a meno che non sia richiesto dall'organizzazione.

    • Utilizza lo script fornito qui per convalidare la firma di ssm-setup-cli.

    • Durante la registrazione delle istanze, utilizza solo il link per il download fornito per la ssm-setup-cli. La ssm-setup-cli non deve essere conservata separatamente per usi futuri.

    regionrappresenta l'identificatore di una regione Regione AWS supportata da AWS Systems Manager, ad esempio us-east-2 per la regione Stati Uniti orientali (Ohio). Per un elenco dei region valori supportati, vedere la colonna Regione negli endpoint del servizio Systems Manager in. Riferimenti generali di Amazon Web Services

    Inoltre, la ssm-setup-cli include le seguenti opzioni:

    • version: i valori validi sono latest e stable.

    • downgrade: riporta l'agente a una versione precedente.

    • skip-signature-validation: ignora la convalida della firma durante il download e l'installazione dell'agente.

    64-bit
    [System.Net.ServicePointManager]::SecurityProtocol = 'TLS12'
$code = "activation-code"
$id = "activation-id"
$region = "us-east-1"
$dir = $env:TEMP + "\ssm"
New-Item -ItemType directory -Path $dir -Force
cd $dir
(New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_amd64/ssm-setup-cli.exe", $dir + "\ssm-setup-cli.exe")
./ssm-setup-cli.exe -register -activation-code="$code" -activation-id="$id" -region="$region"
Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration")
Get-Service -Name "AmazonSSMAgent"

  5. Premi Enter.

Nota

Se il comando ha esito negativo, verificare che sia in esecuzione la versione più recente di AWS Strumenti per PowerShell.

Il comando esegue quanto segue:

  • Scarica e installa SSM Agent sulla macchina.

  • Registra la macchina con il servizio Systems Manager.

  • Restituisce una risposta alla richiesta simile a quella riportata di seguito:

        Directory: C:\Users\ADMINI~1\AppData\Local\Temp\2


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
d-----       07/07/2018   8:07 PM                ssm
{"ManagedInstanceID":"mi-008d36be46EXAMPLE","Region":"us-east-2"}

Status      : Running
Name        : AmazonSSMAgent
DisplayName : Amazon SSM Agent

La macchina è ora un nodo gestito. Questi nodi gestiti ora vengono identificati con il prefisso "mi-". È possibile visualizzare i nodi gestiti nella pagina Nodo gestito inFleet Manager, utilizzando il AWS CLI comando describe-instance-informationo utilizzando il comando DescribeInstanceInformationAPI.

Impostazione della rotazione automatica della chiave privata

Per rafforzare il tuo livello di sicurezza, puoi configurare AWS Systems Manager Agent (SSM Agent) in modo che ruoti automaticamente la chiave privata per un ambiente ibrido e multicloud. È possibile accedere a questa funzionalità utilizzandoSSM Agent3.0.1031.0 o versioni successive Attivare questa funzionalità seguendo la procedura seguente.

Per configurare SSM Agent per ruotare la chiave privata di un ambiente ibrido e multicloud

  1. Accedi a /etc/amazon/ssm/ su una macchina Linux o C:\Program Files\Amazon\SSM per una macchina Windows Server.

  2. Copiare il contenuto diamazon-ssm-agent.json.templateIn un nuovo file denominatoamazon-ssm-agent.json. Save (Salva)amazon-ssm-agent.jsonnella stessa directory doveamazon-ssm-agent.json.templatesi trova.

  3. Trova Profile, KeyAutoRotateDays. Immettere il numero di giorni desiderato tra le rotazioni automatiche della chiave privata.

  4. Riavviare SSM Agent.

Ogni volta che si modifica la configurazione, riavviareSSM Agent.

È possibile personalizzare altre funzionalità di SSM Agent utilizzando la stessa procedura. Per un up-to-date elenco delle proprietà di configurazione disponibili e dei relativi valori predefiniti, vedere Config Property Definitions.

Annullamento della registrazione e nuova registrazione di un nodo gestito (Windows Server)

È possibile annullare la registrazione di un nodo gestito richiamando l'operazione DeregisterManagedInstanceAPI da AWS CLI o Tools for Windows. PowerShell Di seguito è illustrato un esempio di comando CLI:

aws ssm deregister-managed-instance --instance-id "mi-1234567890"

Per rimuovere le informazioni di registrazione rimanenti per l'agente, rimuovi la chiave IdentityConsumptionOrder dal file amazon-ssm-agent.json. Quindi, esegui il comando riportato di seguito:

amazon-ssm-agent -register -clear

Nota

Puoi registrare nuovamente un server on-premises, un dispositivo edge o una macchina virtuale locale utilizzando lo stesso codice di attivazione e lo stesso ID, purché non sia stato raggiunto il limite di istanze per il codice di attivazione e l'ID designati. Puoi verificare il limite di istanza per un codice e un ID di attivazione chiamando l'API describe-activations utilizzando il AWS CLI. Dopo aver eseguito il comando, verifica che il valore di RegistrationCount non sia superiore a RegistrationLimit. Se è maggiore, è necessario utilizzare un codice e un ID di attivazione diversi.

Per registrare nuovamente un nodo gestito su una macchina ibrida Windows Server

  1. Connettiti alla macchina.

  2. Eseguire il seguente comando seguente. Assicurati di sostituire i valori segnaposto con il codice e l'ID di attivazione generati, quando hai creato un'attivazione ibrida e con l'identificativo della Regione da cui desideri scaricare l'SSM Agent.

    $dir = $env:TEMP + "\ssm"
cd $dir
Start-Process ./ssm-setup-cli.exe -ArgumentList @(
    "-register",
    "-activation-code=$code",
    "-activation-id=$id",
    "-region=$region"
) -Wait -NoNewWindow