Configure o Systems Manager para máquinas virtuais do Microsoft Azure
Você pode registrar máquinas virtuais (VMs) do Azure como nós gerenciados do Systems Manager usando o processo de ativação híbrida com a integração nativa do serviço de metadados de instância (IMDS) do Azure. Quando você especifica o parâmetro -provider Azure durante o registro, o SSM Agent lê os dados de identidade da VM do Azure diretamente do endpoint do Azure IMDS e associa o nó gerenciado à VM do Azure de origem.
Essa integração oferece os seguintes benefícios:
-
Associação de identidade de instância: o nó gerenciado (mi-) do SSM é vinculado automaticamente à ID da VM do Azure, permitindo o rastreamento consistente de recursos nas nuvens.
-
Coleção avançada de metadados: as propriedades da VM do Azure, como ID de assinatura, grupo de recursos, localização e zona de disponibilidade, são capturadas e exibidas como atributos de nós gerenciados.
-
Segurança aprimorada: a designação explícita do provedor evita ataques de falsificação de identidade do IMDS e garante que as credenciais tenham como escopo o provedor de nuvem correto.
nota
Antes de começar, conclua as etapas de pré-requisito para criar um perfil de serviço do IAM e uma ativação híbrida, conforme descrito em Criar o perfil de serviço do IAM obrigatório para o Systems Manager em ambientes híbridos e multinuvem e Criar uma ativação híbrida para registrar nós no Systems Manager.
Instale o SSM Agent em VMs Linux do Azure
Use o procedimento a seguir para instalar e registrar o SSM Agent em uma VM Linux do Azure.
Para instalar o SSM Agent em uma VM Linux do Azure
-
Conecte-se à sua VM do Azure.
-
Execute os seguintes comandos. Substitua os valores de espaços reservados pelo Código de Ativação e o ID de Ativação gerados durante o processo de ativação híbrido e com o identificador da Região da AWS que deseja usar.
nota
O comando a seguir usa o
linux_amd64binário. Se sua VM do Azure usa um processador ARM64 (por exemplo, série Dpsv5 ou Epsv5), substitualinux_amd64porlinux_arm64.mkdir /tmp/ssm curl https://amazon-ssm-region.s3.region.amazonaws.com/latest/linux_amd64/ssm-setup-cli -o /tmp/ssm/ssm-setup-cli sudo chmod +x /tmp/ssm/ssm-setup-cli sudo /tmp/ssm/ssm-setup-cli -register \ -activation-code "activation-code" \ -activation-id "activation-id" \ -region "region" \ -provider Azure -
Verifique se o SSM Agent está em execução e se os dados de registro foram gravados corretamente:
sudo systemctl status amazon-ssm-agent cat /var/lib/amazon/ssm/registration
Instale o SSM Agent nas VMs Windows Server do Azure
Use o procedimento a seguir para instalar e registrar o SSM Agent em uma VM Windows Server do Azure.
Para instalar o SSM Agent em uma VM Windows Server do Azure
-
Conecte-se à sua VM do Azure.
-
Abra o Windows PowerShell no modo elevado (administrativo).
-
Copie e cole um o bloco de comandos a seguir no Windows PowerShell. Substitua cada
espaço reservado para recurso de exemplopor suas próprias informações.nota
O comando a seguir usa o
windows_amd64binário. Se sua VM do Azure usa um processador ARM64, substituawindows_amd64porwindows_arm64.[System.Net.ServicePointManager]::SecurityProtocol = 'TLS12' $code = "activation-code" $id = "activation-id" $region = "us-east-1" $dir = $env:TEMP + "\ssm" New-Item -ItemType directory -Path $dir -Force cd $dir (New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_amd64/ssm-setup-cli.exe", $dir + "\ssm-setup-cli.exe") Start-Process ./ssm-setup-cli.exe -ArgumentList @( "-register", "-activation-code=$code", "-activation-id=$id", "-region=$region", "-provider=Azure" ) -Wait -NoNewWindow Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration") Get-Service -Name "AmazonSSMAgent"
Mapeamento de metadados da VM do Azure
Quando você registra uma VM do Azure usando o parâmetro -provider Azure, o SSM Agent lê as seguintes propriedades do endpoint do Azure IMDS (http://169.254.169.254/metadata/instance) e as mapeia para os atributos correspondentes do nó gerenciado do Systems Manager.
| Propriedade do nó gerenciado | Campo do Azure IMDS | Valor de exemplo |
|---|---|---|
ComputerName |
{compute.subscriptionId}:{compute.resourceGroupName}:{compute.name} |
14724fea-7bad-4c32-8af0-ebde38f42a46:MyRG:my-azure-vm |
SourceType |
Codificado | Microsoft.Compute/virtualMachines |
SourceID |
{compute.vmId} |
1724afd8-9092-429e-8b04-0708130c38f7 |
SourceLocation |
{compute.location} |
centralus |
AvailabilityZone |
{compute.zone} |
1 |
AvailabilityZoneId |
Zone{compute.zone} |
Zone1 |
Verifique o registro do nó gerenciado usando DescribeInstanceInformation
Após o registro, use o comando describe-instance-information para confirmar se os metadados da VM do Azure foram capturados corretamente. O exemplo a seguir filtra por SourceId usando a ID da VM do Azure:
aws ssm describe-instance-information \ --filters "Key=SourceIds,Values=1724afd8-9092-429e-8b04-0708130c38f7" \ --regionus-east-1
A resposta inclui o ID do nó gerenciado (prefixado com mi-) e os campos de metadados preenchidos, como ComputerName, SourceId e SourceType:
{ "InstanceInformationList": [ { "InstanceId": "mi-008d36be46EXAMPLE", "ComputerName": "14724fea-7bad-4c32-8af0-ebde38f42a46:MyRG:my-azure-vm", "SourceId": "1724afd8-9092-429e-8b04-0708130c38f7", "SourceType": "Microsoft.Compute/virtualMachines", "SourceLocation": "centralus", "AvailabilityZone": "1", "AvailabilityZoneId": "Zone1", "PingStatus": "Online", "PlatformType": "Linux", "PlatformName": "Ubuntu", "PlatformVersion": "24.04" } ] }
