AWS Systems Manager Session Manager를 사용하려고 하면 세션에 장애가 발생합니다.
해결 방법
Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 관리형 인스턴스로 사용할 수 없어 세션에 장애가 발생하는 경우, 관리형 인스턴스 가용성 문제를 해결하세요.
세션에 장애가 발생하고 Amazon EC2 인스턴스를 관리형 인스턴스로 사용할 수 있는 경우 Session Manager 문제를 해결하여 다음과 같은 문제를 해결할 수 있습니다.
- Session Manager에 세션을 시작할 권한이 없습니다.
- Session Manager에 세션 기본 설정을 변경할 권한이 없습니다.
- 관리형 노드를 사용할 수 없거나 Session Manager용으로 구성되지 않았습니다.
- Session Manager 플러그 인이 명령줄 경로에 추가되지 않습니다(Windows).
- 시스템에서 TargetNotConnected 오류를 전송합니다.
- 세션을 시작하면 Session Manager에 빈 화면이 표시됩니다.
세션이 실패하고 다음 오류 메시지 중 하나가 표시되면 적절한 문제 해결 지침을 적용하세요.
"Your session has been terminated for the following reasons: ----------ERROR------- Encountered error while initiating handshake. Fetching data key failed: Unable to retrieve data key, Error when decrypting data key AccessDeniedException: The ciphertext refers to a AWS KMS key that does not exist, does not exist in this region, or you are not allowed to access. status code: 400, request id: nnnnnnnnnnnn"
계정의 사용자 및 EC2 인스턴스에 필요한 AWS Key Management Service(AWS KMS) 키 권한이 없을 때 이 오류가 표시됩니다. 이 오류를 해결하려면 ](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-preferences-enable-encryption.html)세션 데이터에 대한 AWS KMS 암호화를 활성화[하고 다음 단계를 완료하세요.
- 세션을 시작하는 사용자와 세션이 연결되는 인스턴스에 필요한 AWS KMS 키 권한을 부여합니다.
- 사용자와 인스턴스에 Session Manager와 함께 AWS KMS 키를 사용할 권한을 제공하도록 AWS Identity and Access Management(AWS IAM)를 구성합니다.
사용자를 위한 AWS KMS 키 권한을 추가하려면 Session Manager용 샘플 IAM 정책을 참조하세요.
인스턴스에 대한 AWS KMS 키 권한을 추가하려면 Session Manager의 인스턴스 권한 확인 또는 추가를 참조하세요.
기본 호스트 관리 구성의 경우 AWS KMS 키 권한을 제공하는 IAM 역할에 정책을 추가합니다.
참고: AWS Systems Manager Agent(SSM Agent) 버전 3.2.582.0 이상에서는 기본 호스트 관리 구성이 IAM 인스턴스 프로파일 없이 자동으로 EC2 인스턴스를 관리합니다. 인스턴스는 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
"오류 - 핸드셰이크 중에 WebSocket 연결이 예기치 않게 닫혔기 때문에 Fleet Manager가 세션을 시작할 수 없습니다. 인스턴스 프로파일에 Sessions Manager 및 AWS KMS 권한이 충분히 있는지 확인하세요. 상세한 메시지는 Session Manager 콘솔을 참조하세요."
대상 인스턴스 연결 인스턴스 프로파일 역할에 다음 권한이 없는 경우 이 오류가 발생할 수 있습니다. AWS Systems Manager를 AWS KMS와 함께 사용하려면 세션 데이터에 대한 고객 키 암호화 및 암호 해독을 허용하는 kms:Decrypt 권한이 필요합니다.
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "key-name"
}
이 오류를 해결하려면 인스턴스에 연결된 인스턴스 프로파일 역할의 권한을 업데이트하세요. Session Manager 권한의 예는 기존 IAM 역할에 Session Manager 권한 추가를 참조하세요.
"Your session has been terminated for the following reasons: Couldn't start the session because we are unable to validate encryption on Amazon S3 bucket. Error: AccessDenied: Access Denied status code: 403"
Session Manager 기본 설정에서 S3 로깅에 암호화된 S3 버킷만 허용을 선택하면 이 오류가 발생합니다. 이 오류를 해결하려면 다음 단계를 완료하세요.
- AWS Systems Manager 콘솔을 엽니다.
- Session Manager, 기본 설정을 선택한 다음 편집을 선택합니다.
- S3 로깅에서 암호화된 S3 버킷만 허용을 선택 취소한 다음 변경 사항을 저장합니다.
자세한 내용은 Amazon S3(콘솔)를 사용한 세션 데이터 로깅을 참조하세요.
- IAM 인스턴스 프로파일을 사용하여 관리하는 인스턴스의 경우 Amazon S3에 암호화된 로그를 업로드할 권한을 제공하는 정책을 인스턴스 프로파일에 추가합니다. 지침은 Session Manager 및 Amazon S3와 Amazon CloudWatch Logs(콘솔)에 대한 권한을 지닌 IAM 역할 생성을 참조하세요.
- 기본 호스트 관리 구성을 사용하여 관리하는 인스턴스의 경우 Amazon S3에 암호화된 로그를 업로드할 권한을 제공하는 정책을 IAM 역할에 추가합니다. 자세한 내용은 Session Manager 및 Amazon S3와 CloudWatch Logs(콘솔)에 대한 권한을 지닌 IAM 역할 생성을 참조하세요.
"Your session has been terminated for the following reasons: We couldn't start the session because encryption is not set up on the selected CloudWatch Logs log group. Either encrypt the log group or choose an option to enable logging without encryption"
Session Manager 기본 설정에서 CloudWatch 로깅에 암호화된 CloudWatch 로그 그룹만 허용을 선택하면 이 오류가 발생합니다. 이 오류를 해결하려면 다음 단계를 완료하세요.
- AWS Systems Manager 콘솔을 엽니다.
- Session Manager, 기본 설정을 선택한 다음 편집을 선택합니다.
- CloudWatch 로깅에서 암호화된 CloudWatch 로그 그룹만 허용을 선택 취소한 다음 변경 사항을 저장합니다.
자세한 내용을 보려면 Amazon CloudWatch Logs(콘솔)를 사용한 세션 데이터 로깅을 참조하세요.
- IAM 인스턴스 프로파일을 사용하여 관리하는 인스턴스의 경우 Amazon CloudWatch에 암호화된 로그를 업로드할 권한을 제공하는 정책을 인스턴스 프로파일에 추가합니다. 지침은 Session Manager 및 Amazon S3와 CloudWatch Logs(콘솔)에 대한 권한을 지닌 IAM 역할 생성을 참조하세요.
- 기본 호스트 관리 구성을 사용하여 관리하는 인스턴스의 경우 CloudWatch에 암호화된 로그를 업로드할 권한을 제공하는 정책을 IAM 역할에 추가합니다. 지침은 Session Manager 및 Amazon S3와 CloudWatch Logs(콘솔)에 대한 권한을 지닌 IAM 역할 생성을 참조하세요.
"Your session has been terminated for the following reasons: ----------ERROR------- Unable to start command: Failed to create user ssm-user: Instance is running active directory domain controller service. Disable the service to continue to use session manager"
Windows Server용 AWS Systems Manager를 사용할 때 이 오류가 발생할 수 있습니다. 이 오류의 원인은 인스턴스에서 실행 중인 SSM 에이전트의 버전에 따라 다릅니다.
관련 정보
Amazon EC2 인스턴스에 인스턴스 프로파일을 첨부하거나 이를 교체하려면 어떻게 해야 하나요?
세션 로깅 활성화 및 비활성화
Session Manager 설정