Comment puis-je résoudre les problèmes liés au Gestionnaire de session d’AWS Systems Manager ?

Lecture de 7 minute(s)
0

Ma session échoue lorsque j’essaie d’utiliser le Gestionnaire de session d’AWS Systems Manager.

Résolution

Si une session échoue parce que votre instance Amazon Elastic Compute Cloud (Amazon EC2) n’est pas disponible en tant qu’instance gérée, résolvez les problèmes de disponibilité de votre instance gérée.

Si une session échoue et que votre instance Amazon EC2 est disponible en tant qu’instance gérée, dépannez Session Manager pour résoudre les problèmes suivants :

  • Session Manager n’a pas été autorisé à démarrer une session.
  • Le gestionnaire de session n’a pas été autorisé à modifier les préférences de la session.
  • Un nœud géré n’est pas disponible ou n’est pas configuré pour le gestionnaire de session.
  • Les plug-ins du gestionnaire de session ne sont pas ajoutés au chemin de la ligne de commande (Windows).
  • Le système envoie une erreur TargetNotConnected.
  • Session Manager affiche un écran vide lorsque vous démarrez une session.

Si une session échoue et affiche l’un des messages d’erreur suivants, appliquez les instructions de dépannage appropriées.

"Your session has been terminated for the following reasons: ----------ERROR------- Encountered error while initiating handshake. La récupération de la clé de données a échoué : Impossible de récupérer la clé de données. Erreur lors du déchiffrement de la clé de données AccessDeniedException : The ciphertext refers to a AWS KMS key that does not exist, does not exist in this region, or you are not allowed to access. status code: 400, request id: nnnnnnnnnnnn"

Vous recevez ce message d’erreur lorsque les utilisateurs et les instances EC2 de votre compte ne disposent pas des autorisations de clés AWS Key Management Service (AWS KMS) requises. Afin de résoudre cette erreur, activez le chiffrement AWS KMS pour les données de votre session, puis procédez comme suit :

  1. Accordez les autorisations Clé AWS KMS requises aux utilisateurs qui démarrent des sessions et aux instances auxquelles les sessions se connectent.
  2. Configurez ensuite AWS Identity and Access Management (IAM) pour accorder aux utilisateurs et aux instances les autorisations nécessaires à l’utilisation de la clé AWS KMS avec Session Manager :
    Pour ajouter des autorisations de Clé AWS KMS aux utilisateurs, consultez Exemples de politiques IAM pour Session Manager.
    Pour ajouter des autorisations de Clé AWS KMS aux instances, consultez la rubrique Vérification ou ajout d’autorisations Session Manager aux instances.
    Pour la configuration de gestion des hôtes par défaut, ajoutez une politique à un rôle IAM qui fournit des autorisations de Clé AWS KMS.

Remarque : à partir de la version 3.2.582.0 et ultérieure d’AWS Systems Manager Agent (SSM Agent), la configuration de gestion des hôtes par défaut gère automatiquement les instances EC2 sans profil d’instance IAM. Les instances doivent utiliser le service de métadonnées d’instance version 2 (IMDSv2).

"Error - Fleet Manager is unable to start the session because the WebSocket connection closed unexpectedly during the handshake. Verify that your instance profile has sufficient Sessions Manager and AWS KMS permissions. For a more detailed message, visit the Session Manager console"

Cette erreur peut s’afficher lorsque le rôle du profil d’instance rattaché à l’instance cible ne dispose pas de l’autorisation suivante. Pour utiliser AWS Systems Manager avec AWS KMS, l’autorisation kms:Decrypt est requise pour permettre le chiffrement et le déchiffrement des clés client pour les données de session.

{
    "Effect":   "Allow",
    "Action":  [
          "kms:Decrypt"
    ],
    "Resource": "key-name"
}

Pour résoudre cette erreur, mettez à jour les autorisations relatives au rôle du profil d’instance rattaché à l’instance. Pour un exemple d’autorisations Session Manager, consultez la rubrique Accord d’autorisations Session Manager à un rôle IAM.

"Your session has been terminated for the following reasons: impossible de démarrer la session, car nous ne sommes pas en mesure de valider le chiffrement sur le compartiment Amazon S3. Erreur : Accès refusé : code d’état d’accès refusé : 403 »

Cette erreur apparaît lorsque vous choisissez Autoriser uniquement les compartiments S3 chiffrés pour Journalisation S3 dans les préférences Session Manager. Pour corriger cette erreur, procédez comme suit :

  1. Ouvrez la console AWS Systems Manager.
  2. Sélectionnez Session Manager, Préférences, puis sélectionnez Modifier.
  3. Sous Journalisation S3, désactivez Autoriser uniquement les compartiments S3 chiffrés, puis enregistrez vos modifications.
    Pour plus d’informations, consultez la section Journalisation des données de session à l’aide d’Amazon S3 (console).
  4. Pour les instances gérées à l’aide d’un profil d’instance IAM, ajoutez une politique au profil d’instance afin d’accorder les autorisations permettant de charger des journaux chiffrés sur Amazon S3. Pour obtenir des instructions, consultez la section Création d’un rôle IAM avec des autorisations pour Session Manager, Amazon S3 et Amazon CloudWatch Logs (console).
  5. Pour les instances gérées à l’aide de la configuration de gestion des hôtes par défaut, ajoutez une politique au rôle IAM afin d’autoriser le chargement de journaux chiffrés dans Amazon S3. Pour obtenir des instructions, consultez la section Création d’un rôle IAM avec des autorisations pour Session Manager, Amazon S3 et CloudWatch Logs (console).

"Your session has been terminated for the following reasons: We couldn't start the session because encryption is not set up on the selected CloudWatch Logs log group. Either encrypt the log group or choose an option to enable logging without encryption"

Cette erreur s’affiche si vous choisissez Autoriser uniquement les groupes de journaux CloudWatch chiffrés pour la journalisation CloudWatch dans les préférences Session Manager. Pour corriger cette erreur, procédez comme suit :

  1. Ouvrez la console AWS Systems Manager.
  2. Sélectionnez Session Manager, Préférences, puis sélectionnez Modifier.
  3. Sous Journalisation CloudWatch, désactivez Autoriser uniquement les groupes de journaux CloudWatch chiffrés, puis enregistrez vos modifications.
    Pour plus d’informations, consultez la section Journalisation des données de session à l’aide d’Amazon CloudWatch Logs (console).
  4. Pour les instances gérées à l’aide d’un profil d’instance IAM, ajoutez une politique au profil d’instance afin d’accorder les autorisations nécessaires au chargement des journaux chiffrés sur Amazon CloudWatch. Pour obtenir des instructions, consultez la section Création d’un rôle IAM avec des autorisations Session Manager, Amazon S3 et CloudWatch Logs (console).
  5. Pour les instances gérées à l’aide de la configuration de gestion des hôtes par défaut, ajoutez une politique au rôle IAM afin d’autoriser le chargement de journaux chiffrés dans CloudWatch. Pour obtenir des instructions, consultez la section Création d’un rôle IAM avec des autorisations Session Manager, Amazon S3 et CloudWatch Logs (console).

"Your session has been terminated for the following reasons: ----------ERROR------- Unable to start command: Failed to create user ssm-user: Instance is running active directory domain controller service. Disable the service to continue to use session manager"

Cette erreur peut s’afficher lorsque vous utilisez AWS Systems Manager pour Windows Server. La cause de cette erreur dépend de la version de SSM Agent exécutée sur l’instance.

Informations connexes

Comment puis-je rattacher ou remplacer un profil d’instance sur une instance Amazon EC2 ?

Activation et désactivation de la journalisation de session

Configuration de Session Manager

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 4 mois