Pourquoi mon instance EC2 n'apparaît-elle pas sous Instances gérées dans la console Systems Manager ?

Date de la dernière mise à jour : 06/03/2020

Mon instance Amazon Elastic Compute Cloud (Amazon EC2) n'apparaît pas sous Instances gérées dans la console AWS Systems Manager.

Brève description

Une instance gérée est une instance EC2 configurée pour être utilisée avec Systems Manager. Les instances gérées peuvent utiliser les services Systems Manager tels que les fonctionnalités Run Command, Patch Manager et Automation.

Les instances doivent respecter les conditions suivantes pour être considérées comme des instances gérées :

  • Avoir un AWS Systems Manager Agent (SSM Agent) installé et en cours d'exécution.
  • Avoir une connectivité avec les points de terminaison Systems Manager à l'aide de l'Agent SSM.
  • Avoir le rôle AWS Identity and Access Management (IAM) adéquat assigné.
  • Avoir une connectivité au service de métadonnées des instances

Remarque : pour les instances hybrides, reportez-vous à Configuration d'AWS Systems Manager pour les environnements hybrides.

Solution

Remarque : veillez à sélectionner la région dans laquelle se trouve votre instance avant de résoudre ce problème.

Vérifiez que l'instance respecte les conditions suivantes :

L'Agent SSM est installé et en cours d'exécution sur l'instance

Vérifiez que votre système d'exploitation est pris en charge par Systems Manager. Pour obtenir la liste des systèmes d'exploitation compatibles, consultez Systèmes d'exploitation compatibles.

L'agent SSM est préinstallé sur certains systèmes d'exploitation Windows et Linux. Pour obtenir la liste des systèmes d'exploitation sur lesquels l'agent SSM est préinstallé, consultez Utilisation de l'agent SSM.

Si l'agent SSM n'est pas préinstallé, vous pouvez l'installer manuellement.

Linux : Installation et configuration de l'agent SSM sur les instances Linux EC2

Windows : Installer et configurer l'agent SSM sur les instances Windows EC2

Pour vérifier l'état de l'agent SSM, utilisez les commandes suivantes :

Amazon Linux 1, RHEL 6 (ou distributions similaires) :

$ sudo status amazon-ssm-agent

Amazon Linux 2, Ubuntu, RHEL 7 (ou distributions similaires) :

$ sudo systemctl status amazon-ssm-agent

Dernière version des systèmes Ubuntu 18.04 qui utilisent Snap :

$ sudo snap services amazon-ssm-agent    
Service                            Startup  Current  Notes
amazon-ssm-agent.amazon-ssm-agent  enabled  active   -

Windows :

$ Get-Service AmazonSSMAgent

Vérifier la connectivité aux points de terminaison Systems Manager sur le port 443

Pour obtenir la liste des points de terminaison Systems Manager par région, consultez Points de terminaison et quotas AWS Systems Manager.

Pour tester la connectivité aux points de terminaison depuis le port 443, utilisez la commande telnet . L'exemple suivant montre comment tester la connectivité aux points de terminaison dans la Région us-east-1.

telnet ssm.us-east-1.amazonaws.com 443
telnet ec2messages.us-east-1.amazonaws.com 443
telnet ssmmessages.us-east-1.amazonaws.com 443

Remarque : le point de terminaison ssmmessages est requis uniquement pour AWS Systems Manager Session Manager.

Si la connexion ne fonctionne pas, assurez-vous que la table de routage, les groupes de sécurité et la liste de contrôle d'accès (ACL) réseau de votre VPC sont configurés pour autoriser les connexions sortantes sur le port 443. Les points de terminaison Systems Manager sont des points de terminaison publics. Cela signifie qu'Internet doit être accessible depuis votre instance à l'aide de la Passerelle Internet ou du NAT.

Si vos instances se trouvent sur un sous-réseau privé, vous pouvez configurer les points de terminaison d'un VPC pour atteindre les points de terminaison Systems Manager. Cela vous permet ainsi d'accéder en privé aux API Amazon EC2 et Systems Manager à l'aide d'adresses IP privées. Pour plus d'informations, consultez Comment créer les points de terminaison d'un VPC pour utiliser Systems Manager afin de gérer les instances EC2 privées sans accès à Internet ?

Remarque : chaque point de terminaison d'interface crée une interface réseau Elastic sur le sous-réseau fourni. Le groupe de sécurité lié à l'interface réseau Elastic requiert que le port 443 autorise le trafic entrant.

Vérifier que le rôle IAM adéquat est assigné à l'instance

Pour utiliser des API afin d’appeler un point de terminaison Systems Manager, le rôle IAM correct doit être assigné à l'instance. Assurez-vous que la stratégie AWS AmazonSSMManagedInstanceCore est assignée au rôle IAM. Si vous utilisez une stratégie IAM personnalisée, vérifiez que votre stratégie personnalisée utilise les autorisations qui figurent sous AmazonsSMManagedInstanceCore. Assurez-vous également que la stratégie d'approbation du rôle IAM permet à ec2.amazonaws.com d'assumer ce rôle.

Pour plus d'informations, consultez Ajout d'autorisations à un profil d'instance Systems Manager (Console).

Vérifier la connectivité au service de métadonnées des instances

L'agent SSM doit pouvoir communiquer avec le service de métadonnées de l'instance afin d'obtenir les informations nécessaires concernant l'instance. Pour tester cette connexion, utilisez la commande telnet .

telnet 169.254.169.254 80

Si vous utilisez un proxy sur l'instance, ce dernier peut bloquer la connectivité à l'URL des métadonnées. Assurez-vous que vous avez configuré l’agent SSM pour qu'il fonctionne avec un proxy. Utilisez les liens suivants pour configurer l'agent SSM afin qu'il fonctionne avec un proxy.

Windows : Configurer l'agent SSM pour utiliser un proxy pour les instances Windows

Linux : Configurer l'agent SSM pour utiliser un proxy

Si vous vérifiez tous les prérequis précédents et que l'instance n'apparaît toujours pas en tant qu'instance gérée dans la console Systems Manager, reportez-vous aux journaux de l'agent SSM :

Windows : sous Windows, les journaux de l'Agent SSM se trouvent sous %PROGRAMDATA%\Amazon\SSM\Logs.

Linux : les journaux de l'agent SSM se trouvent dans /var/log/amazon/ssm.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?