Por que não consigo instalar o SSM Agent em uma instância do Linux do Amazon EC2?

Breve descrição

O SSM Agent vem pré-instalado na maioria das imagens de máquina da Amazon (AMIs) fornecidas pela AWS:

• Amazon Linux
• Amazon Linux 2
• AMIs de base otimizadas para Amazon Elastic Container Service (Amazon ECS) no Amazon Linux 2
• Ubuntu Server 16.04, 18.04 e 20.04

No entanto, para gerenciar instâncias baseadas em AMIs do RedHat, SUSE ou CentOS, você deve instalar o SSM Agent manualmente.

Resolução

Para solucionar falhas de instalação do SSM Agent, verifique os seguintes problemas comuns:

Versão do sistema operacional não suportada

O SSM Agent não está disponível para todas as versões de sistemas operacionais (OS). Se você executar uma versão não compatível de um sistema operacional, a instalação do SSM Agent falhará. Para confirmar se o SSM Agent está disponível para o seu sistema operacional, consulte Sistemas operacionais compatíveis com o Systems Manager.

Falha no download do pacote

Quando você instala manualmente o SSM Agent, o pacote do SSM Agent é baixado e instalado a partir de um repositório do Amazon Simple Storage Service (Amazon S3). Se a instância não conseguir se conectar ao bucket do S3 para baixar o pacote, a instalação do SSM Agent falhará.

Verifique se sua instância do Amazon EC2 tem acesso ao repositório do S3 para baixar o pacote do SSM Agent:

• Se a instância estiver em uma sub-rede privada com um gateway de conversão de endereços de rede (NAT), consulte Gateways NAT.
• Se a instância estiver em uma sub-rede privada com uma instância NAT, consulte Instâncias NAT.
• Se a instância estiver em uma sub-rede pública com um gateway da Internet, consulte Habilitar acesso à Internet.
• Se a instância estiver em uma sub-rede privada ou pública com um endpoint de nuvem privada virtual (VPC) do Amazon S3, consulte Endpoints de gateway para o Amazon S3.

O download do pacote também pode falhar nas seguintes situações:

• Os servidores DNS no sistema operacional não conseguem resolver os URLs dos endpoints do Amazon S3.
• Você desativou a resolução de DNS para a VPC.

Para verificar se o arquivo /etc/resolv.conf inclui o endereço IP correto para seu servidor DNS, execute o comando a seguir. Em seguida, examine a saída e confirme se o IP do nameserver corresponde ao endereço IP do seu servidor DNS:

$ cat /etc/resolv.conf

Para obter mais informações, consulte How do I troubleshoot connectivity issues with my gateway Amazon VPC endpoints?

Chave pública ausente para o pacote do SSM Agent

Os arquivos do pacote do SSM Agent têm assinaturas criptográficas. Para garantir que o pacote do agente seja original, use uma chave pública para verificar a assinatura do pacote do instalador. Você pode usar o RPM Package Manager (RPM) ou o GNU Privacy Guard (GPG). Os pacotes RPM já incluem a assinatura necessária para verificação do RPM. Se você usar o GPG para verificar o pacote do instalador, será preciso importar a chave pública manualmente. Caso contrário, a instalação falhará com o seguinte erro:

"Public key for amazon-ssm-agent.rpm is not installed"

Para obter mais informações, consulte Verificar a assinatura do SSM Agent.

Erro no teste de transação

Ao usar o RPM para instalar o SSM Agent, execute o seguinte comando para importar a chave pública para o seu chaveiro:

rpm --import amazon-ssm-agent.gpg

Depois de executar esse comando e tentar instalar o SSM Agent, você poderá receber o seguinte erro:

"Transaction test error: package amazon-ssm-agent-VERSION_NO does not verify: Header V4 RSA/SHA1 Signature"

Esse erro pode ocorrer nas instâncias RHEL Linux 8.x e 9.x com um algoritmo SHA1 obsoleto. Para resolver esse problema, siga estas etapas:

1. Use o GPG para importar a chave pública manualmente:

   gpg --import amazon-ssm-agent.gpg

2. Verifique a assinatura do SSM Agent e, em seguida, instale o SSM Agent.