Complete a 3 Question Survey and Earn a re:Post Badge

Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!

Pourquoi Systems Manager n'affiche-t-il pas mon instance Amazon EC2 en tant qu'instance gérée ?

Lecture de 11 minute(s)

J'ai une instance Amazon Elastic Compute Cloud (Amazon EC2), mais elle n'apparaît pas en tant qu'instance gérée dans AWS Systems Manager.

Brève description

Pour déterminer la raison pour laquelle AWS Systems Manager n'affiche pas votre instance comme étant gérée, vous pouvez utiliser le dossier d’exploitation AWSSupport-TroubleshootManagedInstance. Pour plus d'informations, consultez la section Exécuter une opération d'automatisation optimisée par Systems Manager Automation et Configuration de l'automatisation.

Vous pouvez également résoudre manuellement des problèmes liés à votre instance Amazon EC2.

Résolution

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l'interface.

Utiliser le dossier d’exploitation d’automatisation de Systems Manager

Prérequis : Installez et exécutez AWS Systems Manager Agent (SSM Agent) sur votre instance. Avant de lancer l'automatisation, assurez-vous que votre utilisateur AWS Identity and Access Management (IAM) ou le rôle dispose des autorisations nécessaires. Consultez la section Autorisations IAM requises sur AWSSupport-TroubleshootManagedInstance.

Pour exécuter le dossier d’exploitation, procédez comme suit :

Ouvrez la console Systems Manager.
Dans le volet de navigation, sélectionnez Documents.
Dans la barre de recherche, saisissez AWSSupport-TroubleshootManagedInstance (Propriétaire : Amazon).
Choisissez le document AWSSupport-TroubleshootManagedInstance.
Sélectionnez Exécuter l'automatisation.
Dans les paramètres d'entrée, saisissez les informations suivantes :
Pour InstanceId, saisissez l'ID de l'instance concernée. Vous pouvez saisir manuellement l'ID de l'instance ou utiliser le sélecteur d'instance interactif. Si vous utilisez le sélecteur d'instance, modifiez le filtre de Afficher les instances gérées uniquement à Afficher toutes les instances.
(Facultatif) Pour AutomationAssumeRole, saisissez l’ARN du rôle IAM qui permet à Systems Manager Automation d’effectuer des actions en votre nom. Si vous ne choisissez pas de rôle, AWS Systems Manager Automation utilise les autorisations de l’utilisateur qui exécute ce document.
Sélectionnez Exécuter.

Une fois l'automatisation terminée, consultez la section Sorties pour obtenir les résultats détaillés suivants :

La section InstanceisOnline.output indique si Systems Manager gère l'instance.
La section FinalOutput.output indique si une vérification a réussi ou échoué et inclut des informations sur la procédure de résolution de l’échec.

Résoudre manuellement des problèmes liés à votre instance Amazon EC2

Important : Tout au long des étapes de dépannage, sélectionnez la région AWS dans laquelle se trouve votre instance.

Vérifier que SSM Agent est bien installé et en cours d’exécution sur l’instance

Après avoir vérifié que votre système d’exploitation prend en charge Systems Manager, vérifiez que SSM Agent est installé et exécuté sur votre instance.

SSM Agent est préinstallé sur certaines Amazon Machine Images (AMI) Linux, macOS et Windows.

Pour installer manuellement SSM Agent alors que l’agent n’est pas préinstallé, consultez la documentation AWS suivante :

Pour vérifier que SSM Agent est en cours d'exécution, exécutez la commande spécifique à votre système d'exploitation pour vérifier le statut de l'agent.

Après avoir vérifié que SSM Agent est en cours d'exécution, exécutez la commande ssm-cli pour résoudre les problèmes de disponibilité des instances gérées.

Vérifier la connectivité aux points de terminaison de Systems Manager sur le port 443

La vérification de la connectivité aux points de terminaison de Systems Manager sur le port 443 est spécifique à votre système d'exploitation et aux paramètres de votre sous-réseau. Pour obtenir la liste des points de terminaison de Systems Manager par région, consultez la section Points de terminaison de service.

Remarque : Dans les exemples suivants, le point de terminaison ssmmessages est requis pour Session Manager, une fonctionnalité d’AWS Systems Manager.

Instances Linux EC2

Utilisez les commandes Telnet ou Netcat pour vérifier la connectivité aux points de terminaison sur le port 443 pour les instances Linux EC2. Netcat n’est pas préinstallé sur les instances EC2. Pour installer Netcat manuellement, consultez la page Ncat sur le site Web de Nmap.

Remarque : Dans les commandes suivantes, remplacez RegionID par l'ID de région de votre instance.

Commandes Telnet :

telnet ssm.RegionID.amazonaws.com 443
telnet ec2messages.RegionID.amazonaws.com 443
telnet ssmmessages.RegionID.amazonaws.com 443

Exemple de connexion Telnet :

root@111800186:~# telnet ssm.us-east-1.amazonaws.com 443
Trying 52.46.141.158...
Connected to ssm.us-east-1.amazonaws.com.
Escape character is '^]'.

Pour quitter Telnet, appuyez sur les touches Ctrl et ]. Saisissez quitter, puis appuyez sur Entrée.

Commandes Netcat :

nc -vz ssm.RegionID.amazonaws.com 443
nc -vz ec2messages.RegionID.amazonaws.com 443
nc -vz ssmmessages.RegionID.amazonaws.com 443

Instances Windows EC2

Pour vérifier la connectivité aux points de terminaison sur le port 443 pour les instances Windows EC2, exécutez les commandes Windows PowerShell suivantes :

`Test-NetConnection ssm.RegionID.amazonaws.com -port 443 Test-N`etConnection ec2messages.RegionID.amazonaws.com -port 443
Test-NetConnection ssmmessages.RegionID.amazonaws.com -port 443

Sous-réseaux publics

Les points de terminaison Systems Manager sont des points de terminaison publics. Pour résoudre les problèmes de connectivité liés aux instances d'un sous-réseau public, la table de routage de votre instance doit acheminer le trafic Internet vers une passerelle Internet. Aussi, vos groupes de sécurité Amazon Virtual Private Cloud (Amazon VPC) et vos listes de contrôle d’accès réseau (ACL réseau) doivent autoriser les connexions sortantes sur le port 443.

Sous-réseaux privés

Utilisez des adresses IP privées pour accéder en privé aux API Amazon EC2 et Systems Manager. Pour résoudre les problèmes de connectivité avec une instance d'un sous-réseau privé, la table de routage de votre instance doit acheminer le trafic Internet vers une passerelle NAT. Vous devez également configurer votre point de terminaison de VPC pour atteindre les points de terminaison Systems Manager.

Pour plus d’informations, consultez la section Comment puis-je créer des points de terminaison de VPC pour pouvoir utiliser Systems Manager afin de gérer des instances EC2 privées sans accès Internet ?

Remarque : Chaque point de terminaison d’interface crée une interface réseau élastique dans le sous-réseau fourni.

Dans le cadre des bonnes pratiques de sécurité pour les sous-réseaux privés, vérifiez les paramètres suivants :

Le groupe de sécurité attaché à l’interface réseau de votre point de terminaison de VPC autorise le trafic entrant de port TCP 443 en provenance du groupe de sécurité attaché à votre instance.
Le groupe de sécurité attaché à votre instance autorise la sortie de trafic du port TCP 443 jusqu’à l’adresse IP privée de l’interface réseau du point de terminaison de votre VPC.

Vérifier la configuration de Configuration de la gestion de l’hôte par défaut

Remarque : Si vous n’avez pas activé Configuration de la gestion de l’hôte par défaut, passez à la section Vérifier que le rôle IAM approprié est associé à l’instance.

Si le rôle IAM créé par Configuration de gestion de l’hôte par défaut ne dispose pas d’autorisations suffisantes pour votre cas d'utilisation, vous pouvez ajouter des stratégies.

Toutes les instances associées doivent utiliser le Service de métadonnées d’instance version 2 (IMDSv2). Pour vérifier votre configuration IMDSv2, utilisez la métrique Amazon CloudWatch MetadataNoToken pour déterminer quand IMDSv1 n’est pas utilisé. Puis, vérifiez si vos instances sont transférées à IMDSv2.

Configuration de la gestion de l’hôte par défaut est disponible dans la version 3.2.582.0 ou ultérieure de SSM Agent. Pour vérifier la version de votre SSM Agent, consultez la section Vérification du numéro de version de SSM Agent.

Pour vérifier la configuration de Configuration de gestion de l’hôte par défaut, utilisez la console Systems Manager ou l'AWS CLI.

Console Systems Manager

Procédez comme suit :

Ouvrez la console Systems Manager.
Dans le volet de navigation, sélectionnez Fleet Manager.
Dans la liste déroulante Gestion de compte, sélectionnez Configuration de la gestion de l’hôte par défaut.
Vérifiez que le paramètre Activer la configuration de la gestion de l’hôte par défaut est activé.

AWS CLI

Exécutez la commande de l'interface de ligne de commande AWS get-service-setting pour vérifier la configuration de Configuration de gestion de l’hôte par défaut :

aws ssm get-service-setting \
--setting-id arn:aws:ssm:RegionID:AccountID:servicesetting/ssm/managed-instance/default-ec2-instance-management-role

Remarque : Remplacez AccountID par l'ID de votre compte AWS.

Après avoir activé Configuration de gestion de l’hôte par défaut, une sortie similaire à la sortie suivante s’affiche :

{
  "ServiceSetting": {
    "SettingId": "/ssm/managed-instance/default-ec2-instance-management-role",
    "SettingValue": "service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
     "LastModifiedDate": 1679492424.738,
    "LastModifiedUser": "arn:aws:sts::012345678910:assumed-role/role/role-name",
    "ARN": "arn:aws:ssm:ap-southeast-1:012345678910:servicesetting/ssm/managed-instance/default-ec2-instance-management-role",
    "Status": "Customized"
  }
}

Remarque : Si la valeur de SettingValue est $None, cela signifie que Configuration de la gestion de l’hôte par défaut n’est pas configurée.

Vérifier que Configuration de la gestion de l’hôte par défaut utilise un rôle IAM approprié

Il est recommandé d'utiliser le rôle IAM AWSSystemsManagerDefaultEC2InstanceManagementRole lorsque vous configurez Configuration de gestion de l’hôte par défaut. Pour utiliser un autre rôle, assurez-vous que la stratégie IAM AmazonSSMManagedEC2InstanceDefaultPolicy est associée au rôle.

Si vous avez attaché des profils d’instance à vos instances, supprimez toutes les autorisations permettant l’opération ssm:UpdateInstanceInformation. SSM Agent essaie d’utiliser les autorisations de profil d’instance avant d’utiliser les autorisations de Configuration de la gestion de l’hôte par défaut. Lorsque vous autorisez l’opération ssm:UpdateInstanceInformation dans vos profils d’instance, votre instance n’utilise pas les autorisations de Configuration de la gestion de l’hôte par défaut.

Vérifier que le rôle IAM approprié est associé à l’instance

Remarque : Si vous avez activé Configuration de la gestion de l’hôte par défaut, passez à la section Vérifier la connectivité à IMDS.

Pour effectuer des appels d’API vers un point de terminaison Systems Manager, vous devez attacher la politique AmazonSSMManagedInstanceCore au rôle IAM associé à votre instance. Si vous utilisez une politique IAM personnalisée, vérifiez que celle-ci utilise les autorisations disponibles dans AmazonSSMManagedInstanceCore. Assurez-vous également que la politique d’approbation de votre rôle IAM autorise ec2.amazonaws.com à endosser ce rôle. Pour plus d'informations, consultez la section Configuration alternative pour les autorisations d'instance EC2.

Vérifier la connectivité à IMDS

SSM Agent doit communiquer avec IMDS pour obtenir des informations sur votre instance. Pour tester la connexion, exécutez la commande Netcat suivante :

nc -vz 169.254.169.254 80

Pour vérifier qu'IMDS est configuré pour votre instance existante, utilisez la console Amazon EC2 ou l'AWS CLI.

Console Amazon EC2

Procédez comme suit :

Ouvrez la console Amazon EC2.
Dans le volet de navigation, sélectionnez Instances, puis votre instance.
Sélectionnez Actions, puis Paramètres de l'instance.
Sélectionnez Modifier les options de métadonnées de l'instance.
Dans la boîte de dialogue, assurez-vous que le service de métadonnées d'instance est activé.

AWS CLI

Exécutez la commande de l'interface de ligne de commande AWS describe-instances pour vérifier qu'IMDS est configuré pour votre instance existante :

aws ec2 describe-instances --query "Reservations[*].Instances[*].MetadataOptions" --instance-ids i-012345678910

Exemple de sortie :

[
  [
    {
      "State": "applied",
      "HttpTokens": "optional",
      "HttpPutResponseHopLimit": 1,
      "HttpEndpoint": "enabled",
      "HttpProtocolIpv6": "disabled",
      "InstanceMetadataTags": "disabled"
    }
  ]
]

Remarque : Si la sortie indique « HttpTokens » : « facultatif », IMDSv1 et IMDSv2 sont pris en charge. Si la sortie indique « HttpTokens » : « obligatoire », seul IMDSv2 est pris en charge. Si la sortie indique « HttpEndpoint » : « activé », IMDS est activé.

Si vous utilisez un proxy sur votre instance, celui-ci peut bloquer la connectivité à l’URL des métadonnées. Pour éviter le blocage, configurez SSM Agent afin qu'il fonctionne avec un proxy et définissez no_proxy pour l'URL des métadonnées.

Pour configurer SSM Agent afin qu’il utilise un proxy, consultez la documentation AWS suivante :

Résolution de problèmes supplémentaires

Si votre instance n’apparaît toujours pas sous forme de nœud géré ou qu’elle indique une perte de connexion dans Systems Manager, vérifiez les journaux SSM Agent pour poursuivre le dépannage. Pour Linux et macOS, les journaux se trouvent dans /var/log/amazon/ssm. Pour Windows, les journaux se trouvent dans %PROGRAMDATA%\Amazon\SSM\Logs.

Si votre instance ne rapporte pas à SSM Agent, utilisez le protocole RDP (Remote Desktop Protocol) pour Windows ou SSH pour Linux afin de collecter les journaux. Si vous ne parvenez pas à collecter les journaux, arrêtez votre instance et détachez le volume racine. Puis, attachez le volume racine à une autre instance de la même zone de disponibilité en tant que volume secondaire pour obtenir les journaux.