Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Configuration d'instance automatisée dans AMS Accelerate Configuration d'instance automatisée AMS Accelerate fournit un service de configuration d'instance automatisé. Ce service garantit qu'une instance émet les journaux et les métriques appropriés pour qu'AMS puisse gérer correctement l'instance. La configuration automatique des instances comporte ses propres conditions préalables et étapes d'intégration, décrites plus loin dans cette section. **Topics** + [ # Comment fonctionne la configuration automatique des instances dans Accelerate ](inst-auto-config-how-works.md) + [ # Installation automatique de l'agent SSM ](ssm-agent-auto-install.md) + [ # Modifications de configuration d'instance automatisées ](inst-auto-config-changes-made.md) # Comment fonctionne la configuration automatique des instances dans Accelerate Fonctionnement La configuration automatique des instances permet à AMS Accelerate d'effectuer certaines configurations au quotidien sur des instances que vous indiquez en ajoutant des agents et des tags spécifiques. # Conditions préalables à la configuration automatique des instances dans Accelerate Prérequis Ces conditions doivent être remplies pour permettre à AMS Accelerate d'effectuer les actions automatisées décrites précédemment sur les instances gérées. **L'agent SSM est installé** La configuration automatique de l'instance AMS Accelerate nécessite l'installation de l'agent AWS Systems Manager SSM. Pour plus d'informations sur l'utilisation de la fonctionnalité d'installation automatique de l'agent AMS SSM, voir[Installation automatique de l'agent SSM](ssm-agent-auto-install.md). Pour plus d'informations sur l'installation manuelle de l'agent SSM, consultez les rubriques suivantes : + Linux : [installer manuellement l'agent SSM sur les EC2 instances Amazon pour Linux - AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-manual-agent-install.html) + Windows : [installez manuellement l'agent SSM sur les EC2 instances Amazon pour Windows Server - AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-win.html) **L'agent SSM est dans l'état géré** La configuration automatique des instances AMS Accelerate nécessite un agent SSM opérationnel. L'agent SSM doit être installé et l' EC2 instance Amazon doit être dans l'état géré. Pour plus d'informations, consultez la AWS documentation intitulée [Utilisation de l'agent SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html). # Configuration automatique de la configuration des instances En supposant que les conditions préalables soient remplies, l'ajout d'une balise d' EC2 instance Amazon spécifique lance automatiquement la configuration automatique de l'instance AMS Accelerate. Utilisez l'une des méthodes suivantes pour ajouter cette balise : 1. (Fortement recommandé) Utiliser le tagger de ressources AMS Accelerate Pour configurer la logique de balisage de votre compte, consultez[Comment fonctionne le balisage](acc-tag-intro.md#acc-tag-how-works). Une fois le balisage terminé, les balises et la configuration automatique des instances sont gérées automatiquement. 1. Ajouter des tags manuellement Ajoutez manuellement la balise suivante aux EC2 instances Amazon : **Clé : **ams:rt:ams-managed**, valeur : true.** **Note** Le service de configuration d'instance tente d'appliquer les configurations AMS requises une fois que la balise **ams:rt:ams-managed** est appliquée à l'instance. Le service affirme les configurations requises par AMS chaque fois qu'une instance est démarrée et lors d'un contrôle de configuration quotidien de l'AMS. # Installation automatique de l'agent SSM Installation automatique de l'agent SSM Pour qu'AMS gère vos instances Amazon Elastic Compute Cloud (Amazon EC2), vous devez installer l'agent AWS Systems Manager SSM sur chaque instance. Si l'agent SSM n'est pas installé sur vos instances, vous pouvez utiliser la fonction d'installation automatique de l'agent AMS SSM. **Note** Si votre compte est intégré à AMS Accelerate après le 6 mars 2024, cette fonctionnalité est activée par défaut. Pour désactiver cette fonctionnalité, contactez votre autorité de certification ou votre CSDM. Pour activer cette fonctionnalité dans les comptes intégrés avant le 6 mars 2024, contactez votre CA ou votre CSDM. Cette fonctionnalité n'est disponible que pour les EC2 instances qui ne font pas partie d'un groupe Auto Scaling et qui exécutent des systèmes d'exploitation Linux pris en charge par AMS. ## Conditions préalables à l'utilisation de l'agent SSM Prérequis + Assurez-vous que le profil d'instance associé aux instances cibles respecte l'une des politiques suivantes (ou des autorisations équivalentes à celles autorisées dans celles-ci) : + Amazon SSMManaged EC2 InstanceDefaultPolicy + Amazon SSMManaged InstanceCore + Assurez-vous qu'il n'existe pas de politique de contrôle des services au AWS Organizations niveau qui refuse explicitement les autorisations répertoriées dans les politiques précédentes. Pour plus d’informations, consultez la section [Configurer des autorisations d’instance requises pour Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html). + Pour bloquer le trafic sortant, assurez-vous que les points de terminaison d'interface suivants sont activés sur le VPC où résident les instances cibles (remplacez « région » dans l'URL de manière appropriée) : + ssm..amazonaws.com + ssmmessages..amazonaws.com + messages ec2. .amazonaws.com Pour plus d'informations, consultez [Améliorer la sécurité des EC2 instances en utilisant des points de terminaison VPC pour Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html). Pour obtenir des conseils généraux sur l'activation ou le dépannage de la disponibilité des nœuds gérés, voir [Solution 2 : vérifier qu'un profil d'instance IAM a été spécifié pour l'instance (EC2 instances uniquement)](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-managed-instances.html#instances-missing-solution-2). **Note** AMS arrête et démarre chaque instance dans le cadre du processus d'installation automatique. Lorsqu'une instance est arrêtée, les données stockées dans les volumes de stockage de l'instance et les données stockées dans la RAM sont perdues. Pour plus d'informations, consultez [Que se passe-t-il lorsque vous arrêtez une instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html#what-happens-stop) ? ## Demandez l'installation automatique de l'agent SSM sur vos instances Demander l'installation automatique de l'agent SSM Si vos comptes sont intégrés au module complémentaire AMS Accelerate Patch, configurez une fenêtre de maintenance des correctifs (MW) pour les instances. Un agent SSM fonctionnel est nécessaire pour terminer le processus de correction. Si l'agent SSM est absent d'une instance, AMS essaie de l'installer automatiquement pendant la fenêtre de maintenance des correctifs. **Note** AMS arrête et démarre chaque instance dans le cadre du processus d'installation automatique. Lorsqu'une instance est arrêtée, les données stockées dans les volumes de stockage de l'instance et les données stockées dans la RAM sont perdues. Pour plus d'informations, consultez [Que se passe-t-il lorsque vous arrêtez une instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html#what-happens-stop) ? ## Comment fonctionne l'installation automatique de l'agent SSM Comment fonctionne l'installation automatique de l'agent SSM AMS utilise les données EC2 utilisateur pour exécuter le script d'installation sur vos instances. Pour ajouter le script de données utilisateur et l'exécuter sur vos instances, AMS doit arrêter et démarrer chaque instance. Si votre instance possède déjà un script de données utilisateur existant, AMS effectue les étapes suivantes au cours du processus d'installation automatique : 1. Crée une sauvegarde du script de données utilisateur existant. 1. Remplace le script de données utilisateur existant par le script d'installation de l'agent SSM. 1. Redémarre l'instance pour installer l'agent SSM. 1. Arrête l'instance et restaure le script d'origine. 1. Redémarre l'instance avec le script d'origine. # Modifications de configuration d'instance automatisées Modifications de configuration d'instance automatisées L'automatisation de la configuration des instances AMS Accelerate apporte les modifications suivantes à votre compte : 1. Autorisations IAM Ajoute les politiques gérées par IAM requises pour accorder à l'instance l'autorisation d'utiliser les agents installés par AMS Accelerate. 1. Agents 1. L' CloudWatch agent Amazon est responsable de l'émission des journaux et des métriques du système d'exploitation. L'automatisation de la configuration de l'instance garantit que l' CloudWatch agent est installé et exécute la version minimale d'AMS Accelerate. 1. L'agent AWS Systems Manager SSM est chargé d'exécuter les commandes à distance sur l'instance. L'automatisation de la configuration de l'instance garantit que l'agent SSM exécute la version minimale d'AMS Accelerate. 1. CloudWatch Configuration 1. Pour garantir que les métriques et les journaux requis sont émis, AMS Accelerate personnalise la CloudWatch configuration. Pour plus d'informations, consultez la section suivante,[CloudWatch détails des modifications de configuration](inst-auto-config-details-cw.md). La configuration automatique des instances apporte des modifications ou des ajouts aux profils et à la CloudWatch configuration de vos instances IAM. # Informations relatives à la modification des autorisations IAM Chaque instance gérée doit avoir un Gestion des identités et des accès AWS rôle qui inclut les politiques gérées suivantes : + arn:aws:iam : :aws:policy/Amazon SSMManaged InstanceCore + arn:aws:iam : :aws:policy/ CloudWatchAgentServerPolicy + arn:aws:iam : :aws:policy/ AMSInstance ProfileBasePolicy Les deux premières sont des politiques AWS gérées. La politique gérée par AMS est la suivante : **AMSInstanceProfileBasePolicy** ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "secretsmanager:CreateSecret", "secretsmanager:UpdateSecret" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:/ams/byoa/*" ], "Effect": "Allow" }, { "Action": [ "kms:Encrypt" ], "Resource": [ "*" ], "Effect": "Allow" } ] } ``` ------ Si votre instance possède déjà un rôle IAM attaché, mais qu'aucune de ces politiques n'est absente, AMS ajoute les politiques manquantes à votre rôle IAM. Si votre instance ne possède pas de rôle IAM, AMS attache le rôle **AMSOSConfigurationCustomerInstanceProfile**IAM. Le rôle **AMSOSConfigurationCustomerInstanceProfile**IAM possède toutes les politiques requises par AMS Accelerate. **Note** Si la limite de 10 profils d'instance par défaut est atteinte, AMS augmente la limite à 20, afin que les profils d'instance requis puissent être attachés. # CloudWatch détails des modifications de configuration Informations supplémentaires sur la CloudWatch configuration. + CloudWatch emplacement du fichier de configuration sur l'instance : + Windows : % ProgramData % \$1 Amazon \$1 AmazonCloudWatchAgent \$1 amazon-cloudwatch-agent .json + Linux :/opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.d/ams-accelerate-config.json + CloudWatch emplacement du fichier de configuration dans Amazon S3 : + Windows : https ://ams-configuration-artifacts- *REGION\$1NAME* .s3. *REGION\$1NAME*.amazonaws. com/configurations/cloudwatch/latest/windows-cloudwatch-config.json + Linux : https ://ams-configuration-artifacts- *REGION\$1NAME* .s3. *REGION\$1NAME*.amazonaws. com/configurations/cloudwatch/latest/linux-cloudwatch-config.json + Métriques collectées : + Windows : + AWS Systems Manager Agent SSM (utilisation du processeur) + CloudWatch Agent (Utilisation du processeur) + Utilisation de l'espace disque pour tous les disques (% d'espace libre) + Mémoire (% d'octets engagés en cours d'utilisation) + Linux : + AWS Systems Manager Agent SSM (utilisation du processeur) + CloudWatch Agent (Utilisation du processeur) + Processeur (cpu\$1usage\$1idle, cpu\$1usage\$1iowait, cpu\$1usage\$1user, cpu\$1usage\$1system) + Disque (used\$1percent, inodes\$1used, inodes\$1total) + Diskio (io\$1time, write\$1bytes, read\$1bytes, écritures, lectures) + Mémoire (mem\$1used\$1percent) + Échange (swap\$1used\$1percent) + Logs collectés : + Windows : + SSMAgentJournal Amazon + AmazonCloudWatchAgentLog + SSMErrorJournal Amazon + AmazonCloudFormationLog + ApplicationEventLog + EC2ConfigServiceEventLog + MicrosoftWindowsAppLockerEXEAndDLLEventJournal + MicrosoftWindowsAppLockerMSIAndScriptEventLog + MicrosoftWindowsGroupPolicyOperationalEventLog + SecurityEventLog + SystemEventLog + Linux : + /var/log/amazon/ssm/amazon-ssm-agent.log + /var/log/amazon/ssm/errors.journal + /var/log/audit/audit.journal + /var/log/cloud-init-output.log + /var/log/cloud-init.log + /var/log/cron + /var/log/dpkg.journal + /var/log/maillog + /var/log/messages + /var/log/secure + /var/log/spooler + /var/log/syslog + /var/log/yum.journal + /var/log/zypper.journal