Warum kann ich SSM Agent nicht auf meiner Amazon EC2 Linux Instance installieren?

Kurzbeschreibung

SSM Agent ist auf den meisten von AWS bereitgestellten Amazon Machine Images (AMIs) vorinstalliert:

• Amazon Linux
• Amazon Linux 2
• Für Amazon Elastic Container Service (Amazon ECS) optimierte Basis-AMIs auf Amazon Linux 2
• Ubuntu Server 16.04, 18.04 und 20.04

Zur Verwaltung von Instances, die auf RedHat, SUSE oder CentOS AMIs basieren, müssen Sie SSM Agent jedoch manuell installieren.

Behebung

Überprüfen Sie die folgenden häufig auftretenden Probleme, um Fehler bei der Installation von SSM Agent zu beheben:

Nicht unterstützte Version des Betriebssystems

SSM Agent ist nicht für alle Betriebssystemversionen (OS) verfügbar. Die Installation von SSM Agent schlägt fehl, wenn Sie eine nicht unterstützte Version eines Betriebssystems verwenden. Informationen darüber, ob SSM Agent für Ihr Betriebssystem verfügbar ist, finden Sie unter Unterstützte Betriebssysteme für Systems Manager.

Paket-Download fehlgeschlagen

Wenn Sie SSM Agent manuell installieren, wird das SSM-Agent-Paket aus einem Amazon Simple Storage Service (Amazon S3) Repository heruntergeladen und installiert. Wenn die Instance keine Verbindung zum S3 Bucket herstellen kann, um das Paket herunterzuladen, schlägt die Installation von SSM Agent fehl.

Vergewissern Sie sich, dass Ihre Amazon EC2 Instance Zugriff auf das S3 Repository hat, um das SSM-Agent-Paket herunterzuladen:

• Wenn sich Ihre Instance in einem privaten Subnetz mit einem NAT Gateway (Network Address Translation) befindet, finden Sie weitere Informationen unterNAT Gateways.
• Wenn sich Ihre Instance in einem privaten Subnetz mit einer NAT Instance befindet, finden Sie weitere Informationen unterNAT Instances.
• Wenn sich Ihre Instance in einem öffentlichen Subnetz mit einem Internet Gateway befindet, finden Sie weitere Informationen unter Internetzugang aktivieren.
• Wenn sich Ihre Instance in einem privaten oder öffentlichen Subnetz mit einem Amazon S3 Virtual Private Cloud (VPC)-Endpunkt befindet, finden Sie weitere Informationen unterGateway-Endpunkte für Amazon S3.

Das Herunterladen des Pakets kann auch in den folgenden Szenarien fehlschlagen:

• Die DNS Server innerhalb des Betriebssystems können die Amazon-S3-Endpunkt-URLs nicht auflösen.
• Sie haben die DNS-Auflösung für die VPC deaktiviert.

Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Datei /etc/resolv.conf die richtige IP-Adresse für Ihren DNS Server enthält. Überprüfen Sie die Ergebnisse und stellen Sie sicher, dass die IP-Adresse des Nameserver mit der IP-Adresse Ihres DNS Servers übereinstimmt:

$ cat /etc/resolv.conf

Weitere Informationen finden Sie unter Wie behebe ich Verbindungsprobleme mit meinen Gateway-Amazon-VPC-Endpunkten?

Fehlender öffentlicher Schlüssel für das SSM-Agent-Paket

SSM-Agent-Paketdateien haben kryptografische Signaturen. Um sicherzustellen, dass das Agent-Paket echt ist, verwenden Sie einen öffentlichen Schlüssel, um die Signatur des Installationspakets zu überprüfen. Sie können entweder RPM Package Manager (RPM) oder GNU Privacy Guard (GPG) verwenden. RPM-Pakete enthalten bereits die für die RPM-Verifizierung erforderliche Signatur. Wenn Sie jedoch GPG zur Verifizierung des Installationspakets verwenden, müssen Sie den öffentlichen Schlüssel manuell importieren. Andernfalls schlägt die Installation mit dem folgenden Fehler fehl:

„Public key for amazon-ssm-agent.rpm is not installed“

Weitere Informationen finden Sie unter Überprüfen der Signatur des SSM Agent.

Fehler beim Transaktionstest

Wenn Sie RPM verwenden, um SSM Agent zu installieren, führen Sie den folgenden Befehl aus, um den öffentlichen Schlüssel in Ihren Schlüsselbund zu importieren:

rpm --import amazon-ssm-agent.gpg

Nachdem Sie diesen Befehl ausgeführt und versucht haben, SSM Agent zu installieren, wird möglicherweise der folgende Fehler angezeigt:

„Transaction test error: package amazon-ssm-agent-VERSION_NO does not verify: Header V4 RSA/SHA1 Signature“

Dieser Fehler kann in RHEL Linux 8.x und 9.x Instances mit einem veralteten SHA1-Algorithmus auftreten. Gehen Sie wie folgt vor, um dieses Problem zu beheben:

1. Verwenden Sie GPG, um den öffentlichen Schlüssel manuell zu importieren:

   gpg --import amazon-ssm-agent.gpg

2. Überprüfen Sie die Signatur des SSM Agent und installieren Sie dann SSM Agent.