我想知道在使用 Session Manager (AWS Systems Manager 的一種功能) 工作時,為什麼看不到 Amazon Simple Storage Service (Amazon S3) 或 Amazon CloudWatch 中的日誌。
簡短說明
以下是 Session Manager 無法將日誌傳送到 Amazon S3 或 CloudWatch 最常見的原因:
- Session Manager 記錄設定錯誤
- Amazon S3 儲存貯體權限、AWS 身分和 Access Management (IAM) 政策不正確
- Amazon Virtual Private Cloud (Amazon VPC) 端點可達性問題
先決條件:
解決方案
Session Manager 記錄設定錯誤
若要啟用記錄工作階段資料,請確認您已針對 Amazon S3 記錄日誌或 CloudWatch 記錄日誌設定了 Session Manager。
**注意:**當您設定 CloudWatch 的記錄時,請檢閱 Session Manager 的偏好設定,以確認已選取 CloudWatch 選項並定義好日誌群組。此外,請確認所提供的日誌群組名稱是否適用於現有的日誌群組。
Amazon S3 儲存貯體權限和 IAM 政策不正確
若要讓 Systems Manager 在執行個體上執行動作,您必須透過 IAM 角色授予存取權。如需詳細資訊,請參閱使用 Session Manager 權限驗證或建立 IAM 角色。若要疑難排解 Amazon S3 中遺失的日誌,請完成以下步驟:
- 檢查是否已針對正確的 Amazon S3 儲存貯體 ARN 設定了 IAM 政策。
- 檢查 Amazon S3 儲存貯體政策是否有獲取資源的存取權限。
Amazon VPC 端點可達性問題
若要查看 Session Manager 日誌,您必須為 Amazon S3 或 CloudWatch 建立端點。
檢閱端對端網路,並檢查 HTTPS 權限是否已對下列端點開啟:
- HTTPS://ec2.region-code.amazonaws.com
- HTTPS://ec2messages.region-code.amazonaws.com
- HTTPS://ssm.region-code.amazonaws.com
- HTTPS://ssmmessages.region-code.amazonaws.com
- HTTPS://s3.region-code.amazonaws.com
- HTTPS://monitoring.region-code.amazonaws.com
如需詳細資訊,請參閱以服務使用者身分連線到端點服務。
其他疑難排解
若要針對 CloudWatch 日誌執行其他疑難排解,請根據動作和時間戳記檢視 AWS CloudTrail 事件歷史記錄。如需詳細資訊,請參閱 CloudTrail 中的 CloudWatch 日誌資訊。
相關資訊
如何解決 AWS Systems Manager Session Manager 的問題?