如何排查 AWS Systems Manager 会话管理器的问题?
2 分钟阅读
0
在尝试使用 AWS Systems Manager 会话管理器时,我的会话失败了。
解决方案
解决会话管理器问题的步骤因会话失败的原因而异。
当会话由于 Amazon Elastic Compute Cloud (Amazon EC2) 实例不可用作托管实例而失败时,请对托管实例可用性进行故障排除。
当会话失败,并且 EC2 实例可用作托管实例时,请对会话管理器进行故障排除以解决下列问题:
- 会话管理器没有启动会话的权限。
- 会话管理器没有更改会话首选项的权限。
- 托管节点不可用或者未为会话管理器配置托管节点。
- 会话管理器插件未添加到命令行路径(Windows)。
- 系统发送 TargetNotConnected 错误。
- 在启动会话时,会话管理器会显示空白屏幕。
当会话失败并且显示以下错误消息之一时,请遵循相应的故障排除指南。
“由于以下原因,您的会话已终止:----------错误-------在启动握手时遇到错误。获取数据密钥失败: 无法检索数据密钥,解密数据密钥时出错 AccessDeniedException: 加密文字指的是不存在、此区域不存在或者您无权访问的 AWS KMS 密钥。状态代码: 400,请求 id:xxxxxxxxxxxx”
在账户中的用户和 EC2 实例不具有所需的 AWS Key Management Service (AWS KMS) 密钥权限时,会收到此错误。如需解决此错误,请为会话数据启用 AWS KMS 加密,然后执行下面的步骤:
1. 向启动会话的用户和会话所连接的实例授予必需的 KMS 密钥权限。然后,配置 AWS Identity and Access Management(IAM),为用户和实例提供通过会话管理器使用 KMS 密钥的权限:
- 如需为用户添加 KMS 密钥权限,请参阅 Quickstart default IAM policies for Session Manager。
- 如需为实例添加 KMS 密钥权限,请参阅 Verify or create an IAM role with Session Manager permissions。
- 对于默认主机管理配置,请向提供 KMS 密钥权限的 IAM 角色添加策略。
**注意:**从 AWS Systems Manager Agent (SSM Agent) 版本 3.2.582.0 开始,默认主机管理配置会自动管理没有 IAM 实例配置文件的 EC2 实例。该实例必须使用实例元数据服务版本 2(IMDSv2)。
“Your session has been terminated for the following reasons: Couldn't start the session because we are unable to validate encryption on Amazon S3 bucket.Error: AccessDenied: Access Denied status code: 403”
在会话管理器首选项中为 S3 日志记录选择仅允许加密的 S3 存储桶时,会收到此错误。请按照以下过程之一解决错误:
- 打开 Systems Manager 控制台,然后选择会话管理器、首选项、编辑。在 S3 日志记录下,清除仅允许加密的 S3 存储桶,然后保存您所做的更改。有关详细信息,请参阅 Logging session data using Amazon Simple Storage Service (Amazon S3) (console)。
- 对于使用 IAM 实例配置文件来管理的实例,请向实例配置文件添加一个策略,以提供将加密日志上传到 Amazon S3 的权限。有关说明,请参阅 Creating an IAM role with permissions for Session Manager and Amazon S3 and Amazon CloudWatch Logs (console)。
- 对于您使用默认主机管理配置来管理的实例,请向 IAM 角色添加一个策略,以提供将加密的日志上传到 Amazon S3 的权限。有关说明,请参阅 Creating an IAM role with permissions for Session Manager and Amazon S3 and CloudWatch Logs (console)。
“Your session has been terminated for the following reasons: We couldn't start the session because encryption is not set up on the selected CloudWatch Logs log group.Either encrypt the log group or choose an option to enable logging without encryption.”
当在会话管理器首选项中为 CloudWatch 日志记录选择仅允许加密的 CloudWatch 日志组时,会收到此错误。请按照以下过程之一解决错误:
- 打开 Systems Manager 控制台,然后选择会话管理器、首选项、编辑。在 CloudWatch 日志记录下,清除仅允许加密的 CloudWatch 日志组,然后保存您所做的更改。有关详细信息,请参阅 Logging session data using Amazon CloudWatch Logs (console)。
- 对于您使用 IAM 实例配置文件管理的实例,请向实例配置文件添加一个策略,以提供将加密的日志上传到 Amazon CloudWatch 的权限。有关说明,请参阅 Creating an IAM role with permissions for Session Manager and Amazon S3 and CloudWatch Logs (console)。
- 对于您使用默认主机管理配置来管理的实例,请向 IAM 角色添加一个策略,以提供将加密的日志上传到 CloudWatch 的权限。有关说明,请参阅 Creating an IAM role with permissions for Session Manager and Amazon S3 and CloudWatch Logs (console)。
相关信息
AWS 官方已更新 1 年前
没有评论
相关内容
- AWS 官方已更新 1 年前
- AWS 官方已更新 3 年前
