我想知道为什么我在使用会话管理器(AWS Systems Manager 的一项功能)时看不到 Amazon Simple Storage Service(Amazon S3)或 Amazon CloudWatch 中的日志。
简短描述
以下是会话管理器不向 Amazon S3 或 CloudWatch 发送日志的最常见原因:
- 会话管理器日志记录配置错误
- Amazon S3 桶权限和 AWS Identity and Access Management(IAM)策略不正确
- Amazon Virtual Private Cloud(Amazon VPC)端点可访问性问题
先决条件:
解决方法
会话管理器日志记录配置错误
要激活日志记录会话数据,请确认您已为 Amazon S3 日志记录或 CloudWatch 日志记录配置了会话管理器。
**注意:**配置记录日志到 CloudWatch 时,请查看会话管理器首选项,以验证是否已选择 CloudWatch 选项并定义了日志组。此外,请验证提供的日志组名称是否适用于现有日志组。
Amazon S3 桶权限和 IAM 策略不正确
要让 Systems Manager 对您的实例执行操作,您必须通过 IAM 角色授予访问权限。有关详细信息,请参阅验证或创建具有会话管理器权限的 IAM 角色。要解决 Amazon S3 中丢失的日志问题,请完成下列步骤:
- 检查是否为正确的 Amazon S3 桶 ARN 设置了 IAM 策略。
- 检查 Amazon S3 桶策略是否具有访问资源的权限。
Amazon VPC 端点可访问性问题
要查看会话管理器日志,您必须创建到 Amazon S3 或 CloudWatch 的端点。
查看端到端联网,检查以下端点的 HTTPS 权限是否已打开:
有关详细信息,请参阅以服务使用者身份连接到端点服务。
其他故障排除
要对 CloudWatch 日志执行其他故障排除,请根据操作和时间戳查看 AWS CloudTrail 事件历史记录。有关详细信息,请参阅 CloudTrail 中的 CloudWatch Logs 信息。
相关信息
如何解决 AWS Systems Manager 会话管理器的问题?