Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
Comment résoudre les problèmes liés à la journalisation du Gestionnaire de session sur Amazon S3 ou CloudWatch ?
Je souhaite savoir pourquoi le Gestionnaire de session d’AWS Systems Manager n'envoie pas de journaux à Amazon Simple Storage Service (Amazon S3) ni à Amazon CloudWatch.
Brève description
Les raisons pour lesquelles le Gestionnaire de session n'envoie pas de journaux à Amazon S3 ou CloudWatch sont les suivantes :
- Journalisation du Gestionnaire de session incorrectement configurée
- Autorisations du compartiment S3 et politique de gestion des identités et des accès AWS (AWS IAM) incorrectes
- Problèmes d'accessibilité des points de terminaison Amazon Virtual Private Cloud (Amazon VPC)
- Le rôle IAM ne dispose pas des autorisations requises pour la journalisation CloudWatch
Prérequis :
- Vous avez rempli les prérequis du Gestionnaire de session.
- Votre profil d'instance IAM dispose des autorisations requises pour le Gestionnaire de session.
- (Facultatif) Vous avez installé le plug-in Gestionnaire de session.
Résolution
Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes AWS CLI, consultez la section Résoudre les erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l'interface.
Vérifier la configuration de journalisation du Gestionnaire de session
Pour activer la journalisation des données de session, vérifiez que vous avez configuré le Gestionnaire de session pour Amazon S3 ou CloudWatch Logs.
Lorsque vous configurez CloudWatch Logs, appliquez les bonnes pratiques suivantes :
- Consultez les préférences du Gestionnaire de session pour vérifier que vous avez activé CloudWatch Logs.
- Vérifiez que vous avez spécifié un nom de groupe de journaux valide.
- Assurez-vous que le groupe de journaux spécifié existe dans CloudWatch.
Vérifier les autorisations du compartiment Amazon S3 et la politique IAM
Pour que le Gestionnaire de session puisse charger des journaux sur Amazon S3, le rôle IAM que vous avez associé à l'instance doit disposer des autorisations requises.
Pour résoudre les problèmes liés aux journaux manquants dans Amazon S3, effectuez les actions suivantes :
- Vérifiez que votre rôle de profil d'instance Amazon Elastic Compute Cloud (Amazon EC2) dispose des autorisations S3 IAM appropriées avec l'ARN du compartiment S3.
- Vérifiez que la politique de compartiment S3 autorise le rôle de profil d'instance en tant que principal avec les actions S3 requises sur le compartiment S3.
Vérifier l'accessibilité des points de terminaison Amazon VPC
Si votre instance Amazon EC2 n'a pas accès à Internet, vous devez créer des points de terminaison Amazon VPC pour la journalisation du Gestionnaire de session sur Amazon S3 ou CloudWatch.
Vérifiez votre réseau de bout en bout et confirmez que le trafic HTTPS est ouvert pour les points de terminaison suivants :
- HTTPS://ec2.region-code.amazonaws.com
- HTTPS://ec2messages.region-code.amazonaws.com
- HTTPS://ssm.region-code.amazonaws.com
- HTTPS://ssmmessages.region-code.amazonaws.com
- HTTPS://s3.region-code.amazonaws.com
- HTTPS://monitoring.region-code.amazonaws.com
Pour créer un point de terminaison, consultez la section Se connecter à un service de point de terminaison en tant que consommateur du service.
Configurer une politique IAM pour la journalisation CloudWatch
Si les journaux de session ou de flux sont manquants dans le groupe de journaux CloudWatch, le rôle de profil d'instance ne dispose pas des autorisations IAM appropriées.
Pour créer des flux de journaux et placer des événements de journaux dans CloudWatch, le Gestionnaire de session doit disposer des autorisations suivantes dans la politique IAM :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:REGION:ACCOUNT-ID:log-group:LOG-GROUP-NAME:*" ] }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": "logs:DescribeLogGroups", "Resource": "*" } ] }
Remarque :
- Dans la politique précédente, remplacez REGION, ACCOUNT-ID et LOG-GROUP-NAME par votre région AWS, votre ID de compte AWS et le nom de votre groupe de journaux.
- Si vous avez chiffré le groupe de journaux CloudWatch avec une clé gérée par le client AWS Key Management Service (AWS KMS), accordez au rôle du profil d'instance l'autorisation de l'utiliser. La stratégie de clé AWS KMS doit autoriser le rôle à accéder à la clé.
"Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/ssm/my-log-group:*"
Résolution de problèmes supplémentaires
Pour résoudre les problèmes liés à CloudWatch Logs, consultez l'historique des événements AWS CloudTrail en fonction des actions et des horodatages. Pour plus d'informations, consultez la section Journalisation des opérations d’API et de la console CloudWatch Logs dans AWS CloudTrail.
Informations connexes
Comment résoudre les problèmes liés à AWS Systems Manager Session Manager ?
- Sujets
- Management & Governance
- Balises
- AWS Systems Manager
- Langue
- Français
Contenus pertinents
- demandé il y a 3 ans
- demandé il y a 9 mois
- demandé il y a 2 ans
- AWS OFFICIELA mis à jour il y a 4 ans