Complete a 3 Question Survey and Earn a re:Post Badge

Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!

¿Cómo puedo solucionar los problemas con el Administrador de sesiones de AWS Systems Manager?

7 minutos de lectura

Cuando intento usar el Administrador de sesiones de AWS Systems Manager, se produce un error en mi sesión.

Solución

Si una sesión falla porque su instancia de Amazon Elastic Compute Cloud (Amazon EC2) no está disponible como instancia administrada, solucione los problemas de disponibilidad de la instancia administrada.

Si se produce un error en una sesión y su instancia de Amazon EC2 está disponible como instancia administrada, solucione los problemas del Administrador de sesiones para solventar los siguientes problemas:

El Administrador de sesiones no tiene permiso para iniciar una sesión.
El Administrador de sesiones no tiene permiso para cambiar las preferencias de sesión.
Un nodo administrado no está disponible o no se ha configurado para el Administrador de sesiones.
Los complementos del Administrador de sesiones no se agregan a la ruta de la línea de comandos (Windows).
El sistema envía un error TargetNotConnected.
El Administrador de sesiones muestra una pantalla en blanco cuando inicia una sesión.

Si se produce un error en una sesión y aparece uno de los siguientes mensajes de error, aplique la guía de solución de problemas correspondiente.

«Your session has been terminated for the following reasons: ----------ERROR------- Encountered error while initiating handshake. Fetching data key failed: Unable to retrieve data key, Error when decrypting data key AccessDeniedException: The ciphertext refers to a AWS KMS key that does not exist, does not exist in this region, or you are not allowed to access. status code: 400, request id: nnnnnnnnnnnn»

Este error se muestra cuando los usuarios y las instancias de EC2 de su cuenta no tienen los permisos de claves necesarios de AWS Key Management Service (AWS KMS). Para solucionar este error, active el cifrado de AWS KMS para los datos de la sesión y, a continuación, siga estos pasos:

Conceda los permisos de claves de AWS KMS necesarios a los usuarios que inicien sesiones y a las instancias a las que se conecten las sesiones.
Configure AWS Identity and Access Management (IAM) de modo que proporcione permisos a los usuarios e instancias para usar la clave de AWS KMS con el Administrador de sesiones:
Para añadir permisos de claves de AWS KMS para los usuarios, consulte Ejemplos de políticas de IAM para el Administrador de sesiones.
Para agregar permisos de claves de AWS KMS para las instancias, consulte Verificación o agregación de permisos de instancia para el Administrador de sesiones.
En el caso de la configuración predeterminada de administración de hosts, agregue una política a un rol de IAM que proporcione permisos de claves de AWS KMS.

Nota: A partir de la versión 3.2.582.0 de AWS Systems Manager Agent (SSM Agent), la configuración predeterminada de administración de hosts administra automáticamente las instancias de EC2 sin un perfil de instancia de IAM. Las instancias deben usar la versión 2 del Servicio de metadatos de instancias (IMDSv2).

«Error - Fleet Manager is unable to start the session because the WebSocket connection closed unexpectedly during the handshake. Verify that your instance profile has sufficient Sessions Manager and AWS KMS permissions. For a more detailed message, visit the Session Manager console»

Es posible que aparezca este error si el rol del perfil de instancia asociado a la instancia de destino no tiene el siguiente permiso. Para usar AWS Systems Manager con AWS KMS, se requiere el permiso kms:Decrypt para permitir el cifrado y el descifrado de las claves del cliente para los datos de la sesión.

{
    "Effect":   "Allow",
    "Action":  [
          "kms:Decrypt"
    ],
    "Resource": "key-name"
}

Para solucionar este error, actualice los permisos del rol del perfil de instancia asociado a su instancia. Para ver un ejemplo de permisos del Administrador de sesiones, consulte Adición de permisos del Administrador de sesiones a un rol de IAM existente.

«Your session has been terminated for the following reasons: Couldn't start the session because we are unable to validate encryption on Amazon S3 bucket. Error: AccessDenied: Access Denied status code: 403»

Este error se muestra cuando elige Permitir solo buckets de S3 cifrados en Registro de S3 en sus preferencias del Administrador de sesiones. Para solucionar el error, siga estos pasos:

Abra la consola de AWS Systems Manager.
Elija Administrador de sesiones, Preferencias y, a continuación, seleccione Editar.
En Registro de S3, desmarque Permitir solo buckets de S3 cifrados y, a continuación, guarde los cambios.
Para obtener más información, consulte Registro de los datos de la sesión con Amazon S3 (consola).
En el caso de las instancias administradas con un perfil de instancia de IAM, añada una política al perfil de instancia que proporcione permisos para cargar registros cifrados en Amazon S3. Para obtener instrucciones, consulte Creación de un rol de IAM con permisos para el Administrador de sesiones, Amazon S3 y los Registros de Amazon CloudWatch (consola).
En el caso de las instancias administradas con la configuración predeterminada de administración de hosts, añada una política al rol de IAM que proporcione permisos para cargar registros cifrados en Amazon S3. Para obtener más información, consulte Creación de un rol de IAM con permisos para el Administrador de sesiones, Amazon S3 y los Registros de CloudWatch (consola).

«Your session has been terminated for the following reasons: We couldn't start the session because encryption is not set up on the selected CloudWatch Logs log group. Either encrypt the log group or choose an option to enable logging without encryption»

Este error se muestra cuando elige Permitir solo grupos de registro de CloudWatch cifrados en Registro de CloudWatch en sus preferencias del Administrador de sesiones. Para solucionar este error, siga estos pasos:

Abra la consola de AWS Systems Manager.
Elija Administrador de sesiones, Preferencias y, a continuación, seleccione Editar.
En Registro de CloudWatch, desmarque Permitir solo grupos de registro de CloudWatch cifrados y, a continuación, guarde los cambios.
Para obtener más información, consulte Registro de los datos de la sesión con los Registros de Amazon CloudWatch (consola).
En el caso de las instancias administradas con un perfil de instancia de IAM, añada una política al perfil de instancia que proporcione los permisos para cargar registros cifrados en Amazon CloudWatch. Para obtener instrucciones, consulte Creación de un rol de IAM con permisos para el Administrador de sesiones, Amazon S3 y los Registros de CloudWatch (consola).
En el caso de las instancias administradas con la configuración predeterminada de administración de hosts, añada una política al rol de IAM que proporcione permisos para cargar registros cifrados en CloudWatch. Para obtener instrucciones, consulte Creación de un rol de IAM con permisos para el Administrador de sesiones, Amazon S3 y los Registros de CloudWatch (consola).

«Your session has been terminated for the following reasons: ----------ERROR------- Unable to start command: Failed to create user ssm-user: Instance is running active directory domain controller service. Disable the service to continue to use session manager»

Es posible que aparezca este error cuando utilice AWS Systems Manager para Windows Server. La causa de este error depende de la versión de SSM Agent que se ejecute en la instancia.

En la versión 2.3.612.0 de SSM Agent y versiones posteriores, la cuenta ssm-user no se crea automáticamente en equipos con Windows Server utilizados como controladores de dominio. La cuenta de usuario con el nombre ssm-user debe crearse manualmente y configurarse con los permisos necesarios.
Para identificar la versión de SSM Agent, consulte Verificación del número de versión de SSM Agent. Consulte también las notas de publicación de la versión de SSM Agent en el sitio web de GitHub.
Para suscribirse a las notificaciones de SSM Agent, consulte Suscripción a las notificaciones de SSM Agent.
Para configurar SSM Agent de modo que se actualice automáticamente, consulte Automatización de las actualizaciones de SSM Agent.

Información relacionada

¿Cómo puedo asociar o reemplazar un perfil de instancia en una instancia de Amazon EC2?

Habilitar y deshabilitar el registro de la sesión

Configuración del Administrador de sesiones

Temas

Gestión y gobierno

Etiquetas

AWS Systems Manager

Idioma

Español

OFICIAL DE AWSActualizada hace 8 meses

Sin comentarios

Contenido relevante

Problema al conectar por escritorio remoto Sever 2022
Felix
preguntada hace un mes
Problema con el registro de mi cuenta.
Brayan Leonardo Alvarez Reyes
preguntada hace 3 meses
SOLUCION A RECHAZO DE CREDITOS AWS Activate
Andres
preguntada hace 5 meses
¿Es posible personalizar el cliente de Amazon WorkSpaces con branding corporativo?
Kenny Hernandez Perez
preguntada hace 5 meses
Problema de acceso a instancia
Jmortega
preguntada hace 2 meses
¿Cómo puedo solucionar los problemas de registro del Administrador de sesiones en Amazon S3 o CloudWatch?
OFICIAL DE AWSActualizada hace un mes
¿Por qué no puedo usar el Administrador de sesiones para conectarme a mi instancia de Amazon EC2?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo puedo controlar el acceso a mis instancias utilizando el administrador de sesiones?
OFICIAL DE AWSActualizada hace 4 años
¿Cómo puedo configurar un bucket central de Amazon S3 para el registro del Administrador de sesiones desde varias cuentas?
OFICIAL DE AWSActualizada hace 2 años