Como solucionar falhas do Systems Manager Run Command?

4 minuto de leitura

Quando eu uso o AWS Systems Manager Run Command para executar comandos na minha instância gerenciada do Amazon Elastic Compute Cloud (Amazon EC2), o processo falha.

Resolução

Pré-requisitos

Antes de ser possível usar o Run Command para gerenciar instâncias do EC2, você deve configurar uma política de usuário do AWS Identity and Access Management (AWS IAM). A política do usuário é necessária para todos os usuários que executam comandos. Para verificar sua configuração, siga estas etapas:

Verifique se uma função de perfil de instância do IAM para o Systems Manager está vinculada às suas instâncias do EC2. Para mais informações, consulte Configurar as permissões de instância necessárias para o Systems Manager.
Analise a política do IAM criada para o perfil ou o usuário. A política deve incluir permissões para chamadas de API ec2messages porque o endpoint é necessário para enviar e receber comandos.

Observação: o Systems Manager gerencia automaticamente as instâncias do EC2 sem um perfil de instância do IAM quando você configura a configuração padrão de gerenciamento de host. Todas as instâncias EC2 associadas devem usar o Instance Metadata Service Version 2 (IMDSv2). A configuração padrão de gerenciamento de host está disponível no AWS Systems Manager Agent (SSM Agent) versão 3.2.582.0 ou posterior. Configure permissões para chamadas de API ec2messages na política anexada ao perfil do IAM porque você precisa de um endpoint para enviar e receber comandos. Configure o AWSSystemsManagerDefaultEC2InstanceManagementRole como o perfil padrão do IAM. Esse perfil contém o conjunto mínimo de permissões necessárias para gerenciar instâncias do EC2 com o Systems Manager.

Solucionar falhas de execução do comando

No Systems Manager, em Fleet Manager, as instâncias do EC2 devem ser listadas em Managed Nodes, e o status de ping do SSM Agent deve ser Online. Se a opção Executar comando falhar, tente estas opções de solução de problemas:

Siga as etapas de resolução em Por que minha instância do EC2 não está aparecendo como um nó gerenciado ou mostrando o status de “Conexão perdida” no Systems Manager?
Verifique se a instância está usando a versão mais recente do SSM Agent.
Quando a Janela de manutenção ou o State Manager executar o comando, confirme se o comando está sendo executado. Para confirmar, use o AWS CloudTrail para analisar a resposta de SendCommand.

Examinar os detalhes do status do Run Command

Examinar os detalhes do status do Run Command.
Abra o console do Systems Manager e escolha Executar comando no painel de navegação.
Escolha o ID do comando com hiperlink para abrir a página Status do comando.
Na seção Targets and outputs (Destinos e saídas), escolha o ID da instância com hiperlink e revise a saída.

Quando a saída estiver truncada, conecte-se à instância do EC2 usando SSH e navegue até os diretórios a seguir para ver os detalhes completos do erro. Anote os códigos de status de saída e consulte Solução de problemas do Systems Manager Run Command para conhecer etapas adicionais de solução de problemas.

Para Linux e macOS:

/var/lib/amazon/ssm/<instance-id>/document/orchestration/<command-id>/<Plugin-name>/<Step-name>/stdout
/var/lib/amazon/ssm/<instance-id>/document/orchestration/<command-id>/<Plugin-name>/<Step-name>/stderr

Para Windows:

%ProgramData%\Amazon\SSM\InstanceData\<ManagedInstance-ID>\document\orchestration\<Command-ID>\<plug-in>\<step\ _number.plug-in>\ stdout
%ProgramData%\Amazon\SSM\InstanceData\<ManagedInstance-ID>\document\orchestration\<Command-ID>\<plug-in>\<step_number.plug-in>\stderr