Pourquoi ne puis-je pas installer SSM Agent sur mon instance Linux Amazon EC2 ?

Lecture de 4 minute(s)
0

Lorsque j'essaie d'installer AWS Systems Manager Agent (SSM Agent) sur mon instance Linux Amazon Elastic Compute Cloud (Amazon EC2), l'installation échoue.

Brève description

SSM Agent est préinstallé sur la plupart des Amazon Machine Images (AMI) fournies par AWS :

  • Amazon Linux
  • Amazon Linux 2
  • AMI de base optimisées pour Amazon Elastic Container Service (Amazon ECS) sur Amazon Linux 2
  • Ubuntu Server 16.04, 18.04 et 20.04

Toutefois, pour gérer des instances basées sur des AMI RedHat, SUSE ou CentOS, vous devez installer manuellement SSM Agent.

Résolution

Pour résoudre les problèmes d'installation de SSM Agent, vérifiez les problèmes courants suivants :

Version du système d'exploitation non prise en charge

SSM Agent n'est pas disponible pour toutes les versions du système d'exploitation (OS). Si vous exécutez une version non prise en charge d'un système d'exploitation, l'installation de SSM Agent échoue. Pour vérifier si SSM Agent est disponible pour votre système d'exploitation, reportez-vous à Systèmes d'exploitation pris en charge pour Systems Manager.

Échec du téléchargement du package

Lorsque vous installez manuellement SSM Agent, le package de SSM Agent est téléchargé et installé à partir d'un référentiel Amazon Simple Storage Service (Amazon S3). Si l'instance ne parvient pas à se connecter au compartiment S3 pour télécharger le package, l'installation de SSM Agent échoue.

Vérifiez que votre instance Amazon EC2 a accès au référentiel S3 pour télécharger le package de SSM Agent :

  • Si votre instance se trouve dans un sous-réseau privé doté d'une passerelle de traduction d'adresses réseau (NAT), reportez-vous à Passerelles NAT.
  • Si votre instance se trouve dans un sous-réseau privé avec une instance NAT, reportez-vous à Instances NAT.
  • Si votre instance se trouve dans un sous-réseau public doté d'une passerelle Internet, reportez-vous à Activer l'accès à Internet.
  • Si votre instance se trouve dans un sous-réseau privé ou public avec un point de terminaison de cloud privé virtuel (VPC) Amazon S3, reportez-vous à Points de terminaison Passerelle pour Amazon S3.

Le téléchargement du package peut également échouer dans les scénarios suivants :

  • Les serveurs DNS du système d'exploitation ne peuvent pas résoudre les URL du point de terminaison Amazon S3.
  • Vous avez désactivé la résolution DNS pour le VPC.

Pour vérifier que le fichier /etc/resolv.conf inclut l'adresse IP correcte pour votre serveur DNS, exécutez la commande suivante. Vérifiez ensuite le résultat et confirmez que l'adresse IP du serveur de noms correspond à l'adresse IP de votre serveur DNS :

$ cat /etc/resolv.conf

Pour plus d'informations, consultez Comment puis-je résoudre les problèmes de connectivité avec les points de terminaison Amazon VPC de ma passerelle ?

Clé publique manquante pour le package de l'agent SSM

Les fichiers du package de SSM Agent ont des signatures cryptographiques. Pour vous assurer que le package de l'agent est original, utilisez une clé publique pour vérifier la signature du package d'installation. Vous pouvez utiliser le gestionnaire de packages RPM (RPM) ou GNU Privacy Guard (GPG). Les packages RPM incluent déjà la signature requise pour la vérification du RPM. Si vous utilisez GPG pour vérifier le package d'installation, vous devez importer manuellement la clé publique. Dans le cas contraire, l'installation échoue avec le message d'erreur suivant :

« Public key for amazon-ssm-agent.rpm is not installed »

Pour plus d'informations, reportez-vous à Vérification de la signature de l'agent SSM.

Erreur lors du test de transaction

Lorsque vous utilisez RPM pour installer SSM Agent, exécutez la commande suivante pour importer la clé publique dans votre trousseau de clés :

rpm --import amazon-ssm-agent.gpg

Après avoir exécuté cette commande et essayé d'installer SSM Agent, le message d'erreur suivant peut s'afficher :

« Transaction test error: package amazon-ssm-agent-VERSION_NO does not verify: Header V4 RSA/SHA1 Signature »

Cette erreur peut se produire dans les instances RHEL Linux 8.x et 9.x avec un algorithme SHA1 obsolète. Pour résoudre ce problème, procédez comme suit :

  1. Utilisez GPG pour importer manuellement la clé publique :

    gpg --import amazon-ssm-agent.gpg
  2. Vérifiez la signature de SSM Agent, puis installez SSM Agent.

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 5 mois