Come posso risolvere i problemi con Gestione sessione di AWS Systems Manager?
Quando provo a utilizzare Gestione sessione di AWS Systems Manager, la mia sessione ha esito negativo.
Risoluzione
Se una sessione ha esito negativo perché la tua istanza Amazon Elastic Compute Cloud (Amazon EC2) non è disponibile come istanza gestita, risolvi i problemi di disponibilità dell'istanza gestita.
Se una sessione ha esito negativo e la tua istanza Amazon EC2 è disponibile come istanza gestita, risolvi i problemi di Session Manager per risolvere i seguenti problemi:
- Gestione sessione non dispone dell'autorizzazione per avviare una sessione.
- Gestione sessione non dispone dell'autorizzazione per modificare le preferenze di sessione.
- Un nodo gestito non è disponibile o non è configurato per Gestione sessione.
- I plug-in di Gestione sessione non vengono aggiunti al percorso della linea di comando (Windows).
- Il sistema invia un errore TargetNotConnected.
- Gestione sessione visualizza una schermata vuota all'avvio di una sessione.
Se una sessione ha esito negativo e viene visualizzato uno dei seguenti messaggi di errore, applica le linee guida appropriate per la risoluzione dei problemi.
"Your session has been terminated for the following reasons: ----------ERROR------- Encountered error while initiating handshake. Fetching data key failed: Unable to retrieve data key, Error when decrypting data key AccessDeniedException: The ciphertext refers to a AWS KMS key that does not exist, does not exist in this region, or you are not allowed to access. status code: 400, request id: nnnnnnnnnnnn"
Ricevi questo errore quando gli utenti e le istanze EC2 nel tuo account non dispongono delle autorizzazioni chiave del Servizio AWS di gestione delle chiavi (AWS KMS). Per risolvere questo errore, attiva la crittografia AWS KMS per i dati della sessione, quindi segui questi passaggi:
- Concedi le autorizzazioni chiave KMS richieste agli utenti che avviano le sessioni e alle istanze a cui le sessioni si connettono.
- Quindi, configura AWS Identity and Access Management (IAM) per fornire agli utenti e alle istanze le autorizzazioni per utilizzare la chiave KMS con Gestione sessione:
Per aggiungere le autorizzazioni chiave di AWS KMS per gli utenti, consulta Sample IAM policies for Session Manager.
Per aggiungere le autorizzazioni chiave di AWS KMS per le istanze, consulta Verify or add instance permissions for Session Manager.
Per la Configurazione di gestione host predefinita, aggiungi una policy a un ruolo IAM che fornisca le autorizzazioni chiave KMS.
Nota: a partire dalla versione 3.2.582.0 di Agente AWS Systems Manager (Agente SSM), la Configurazione di gestione host predefinita gestisce automaticamente le istanze EC2 senza un profilo dell'istanza IAM. Le istanze devono utilizzare Servizio di metadati dell'istanza Versione 2 (IMDSv2).
"Error - Fleet Manager is unable to start the session because the WebSocket connection closed unexpectedly during the handshake. Verify that your instance profile has sufficient Sessions Manager and AWS KMS permissions. For a more detailed message, visit the Session Manager console"
Potresti ricevere questo errore quando al ruolo del profilo dell'istanza collegato all'istanza di destinazione manca la seguente autorizzazione. Per utilizzare AWS Systems Manager con AWS KMS, è necessaria l'autorizzazione KMS:Decrypt per consentire la crittografia e la decrittografia delle chiavi del cliente per i dati di sessione.
{ "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" }
Per risolvere questo errore, aggiorna le autorizzazioni del ruolo del profilo dell'istanza associato all'istanza. Per un esempio di autorizzazioni di Session Manager, consulta Add Session Manager permissions to an existing IAM role.
"Your session has been terminated for the following reasons: Couldn't start the session because we are unable to validate encryption on Amazon S3 bucket. Error: AccessDenied: Access Denied status code: 403"
Viene visualizzato questo errore quando si sceglie Consenti solo bucket S3 crittografati per Registrazione S3 nelle preferenze di Gestione sessione. Per risolvere questo errore, completa i passaggi seguenti:
- Apri la console AWS Systems Manager.
- Scegli Session Manager, Preferenze, quindi scegli Modifica.
- Nella sezione Registrazione S3, deseleziona Consenti solo bucket S3 crittografati, quindi salva le modifiche.
Per ulteriori informazioni, consulta la pagina Logging session data using Amazon S3 (console). - Per le istanze gestite utilizzando un profilo dell'istanza IAM, aggiungi una policy al profilo dell'istanza per fornire le autorizzazioni per caricare i log crittografati su Amazon S3. Per istruzioni, consulta la pagina Creating an IAM role with permissions for Session Manager and Amazon S3 and Amazon CloudWatch Logs (console).
- Per le istanze gestite utilizzando la Default Host Management Configuration, aggiungi una policy al ruolo IAM per fornire le autorizzazioni per caricare i log crittografati su Amazon S3. Per ulteriori informazioni, consulta la pagina Creating an IAM role with permissions for Session Manager and Amazon S3 and Amazon CloudWatch Logs (console).
"Your session has been terminated for the following reasons: We couldn't start the session because encryption is not set up on the selected CloudWatch Logs log group. Either encrypt the log group or choose an option to enable logging without encryption."
Ricevi questo errore quando scegli Consenti solo i gruppi di log CloudWatch crittografati per la Registrazione CloudWatch nelle tue preferenze di Gestione sessione. Per risolvere questo errore, completa i passaggi seguenti:
- Apri la console AWS Systems Manager.
- Scegli Session Manager, Preferenze, quindi scegli Modifica.
- In Registrazione CloudWatch, deseleziona Consenti solo i gruppi di log CloudWatch crittografati, quindi salva le modifiche.
Per ulteriori informazioni, consulta la pagina Logging session data using Amazon CloudWatch Logs (console). - Per le istanze gestite utilizzando un profilo dell'istanza IAM, aggiungi una policy al profilo dell'istanza per fornire le autorizzazioni per caricare i log crittografati su Amazon CloudWatch. Per istruzioni, consulta la pagina Creating an IAM role with permissions for Session Manager and Amazon S3 and Amazon CloudWatch Logs (console).
- Per le istanze gestite utilizzando la Default Host Management Configuration, aggiungi una policy al ruolo IAM per fornire le autorizzazioni per caricare i log crittografati su CloudWatch. Per istruzioni, consulta la pagina Creating an IAM role with permissions for Session Manager and Amazon S3 and Amazon CloudWatch Logs (console).
"Your session has been terminated for the following reasons: ----------ERROR------- Unable to start command: Failed to create user ssm-user: Instance is running active directory domain controller service. Disable the service to continue to use session manager"
Potresti ricevere questo errore quando usi AWS Systems Manager per Windows Server. La causa di questo errore dipende dalla versione dell'agente SSM in esecuzione sull'istanza.
- Nella versione 2.3.612.0 e successive dell'agente SSM, l'account ssm-user non viene creato automaticamente sui computer Windows Server utilizzati come controller di dominio. L'account utente con il nome ssm-user deve essere creato manualmente e impostato con le autorizzazioni richieste.
- Per verificare la versione di Agente SSM, consulta la pagina Checking the SSM Agent version number. Consulta anche le SSM Agent version release notes sul sito Web di GitHub.
- Per sottoscrivere la notifica dell'Agente SSM, vedi Subscribing to SSM Agent notifications.
- Per configurare l'agente SSM per l'aggiornamento automatico, vedi Automating updates to SSM Agent.
Informazioni correlate
Come faccio a collegare o sostituire un profilo di istanza su un'istanza Amazon EC2?
Contenuto pertinente
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata 4 anni fa
- AWS UFFICIALEAggiornata 4 anni fa