Comment puis-je résoudre les problèmes d'une association State Manager restée bloquée à l’état « A échoué » ou « En attente » ?

Lecture de 4 minute(s)
0

Je souhaite résoudre les problèmes d'une association State Manager restée bloquée à l’état « A échoué » ou « En attente ».

Brève description

State Manager, une fonctionnalité d'AWS Systems Manager, est un service de gestion de configuration sécurisé et évolutif. State Manager automatise le processus de maintien de vos nœuds gérés et des autres ressources AWS dans l'état que vous définissez.

L'association Gestionnaire d’état d’AWS Systems Manager est une configuration attribuée à vos instances gérées. La configuration définit l'état que vous souhaitez conserver sur vos instances.

Lors de la création d'une association State Manager, Systems Manager lie les informations de planification, de cibles, de documents et de paramètres que vous spécifiez aux instances gérées. Lorsque le système atteint tous les objectifs et applique immédiatement l'état spécifié dans l'association, le statut de l'association est En attente.

Prérequis

Rôles et autorisations pour Systems Manager

Pour permettre aux utilisateurs de créer une association, vous devez associer à l'utilisateur la politique AmazonSSMFullAccess gérée par AWS.

Pour Run Command, une fonctionnalité d'AWS Systems Manager, State Manager exige que l'instance cible soit une instance gérée. State Manager a besoin d'un rôle AWS Identity and Access Management (IAM) avec des autorisations pour récupérer et exécuter les documents de Systems Manager. Vous trouverez les autorisations minimales requises pour ce rôle dans la politique des rôles gérés d'AmazonSSMManagedInstanceCore.

Association d'automatisation

Si State Manager cible le document d'automatisation, des autorisations sont également requises pour exécuter l'automatisation. Pour plus d'informations, consultez Méthode 2 : Utiliser IAM pour configurer des rôles pour l'automatisation.

Connectivité et configuration des agents

Vérifiez que les ressources et paramètres suivants sont configurés :

  • L'agent AWS Systems Manager (agent SSM) est installé sur l'instance pour utiliser les commandes d'exécution.
  • Les métadonnées sont accessibles sur toutes les instances cibles, à l'exception des instances gérées sur site.
  • L'instance cible dispose d'un accès Internet sortant via TCP 443 vers les points de terminaison du service régional SSM, ec2messages.region-id.amazonaws.com et ssm.region-id.amazonaws.com.

Résoudre les problèmes liés à une association bloquée dans l’état En attente ou A échoué

Si l'association reste En attente ou A échoué, consultez d'abord le site Web GitHub pour confirmer que vous avez installé la dernière version de SSM Agent. Vérifiez ensuite l'état de la ressource à laquelle l'association est appliquée et consultez l'historique pour confirmer s'il y a eu des invocations.

Pour vérifier l'état, procédez comme suit :

  1. Ouvrez la console Systems Manager.
  2. Dans le volet de navigation, choisissez Gestionnaire d’État.
  3. Choisissez l'ID de l'association pour l’association bloquée dans l’état En attente ou A échoué.
  4. Cliquez sur l'onglet Historique des exécutions pour afficher l'historique des invocations. Si l'historique répertorie les invocations, choisissez Exécution ID pour voir le type de ressource, son statut et d'autres détails.
    **Remarque :**Si aucune invocation n'est répertoriée dans l'historique, vérifiez qu'il s'agit d'une instance gérée. À partir de la console Systems Manager, l'instance doit être répertoriée sous Instances gérées et l'État du ping de l'agent SSM doit être En ligne.
  5. Choisissez ID Ressource, puis sélectionnez l'instance cible Exécution ID Association cibles.
  6. Sélectionnez l’ID Ressource de l'instance cible, puis choisissez Sortie.

La sortie affiche des détails et un message d'erreur expliquant pourquoi l'association a échoué. Pour plus d'informations sur les messages d'erreur, consultez les rubriques suivantes :

Si votre instance n'apparaît pas sous Instances gérées ou si le Statut du ping de l'agent SSM est Connexion perdue, un dépannage supplémentaire est nécessaire. Pour résoudre ces problèmes, consultez Pourquoi mon instance EC2 ne s'affiche-t-elle pas en tant que nœud géré ou affiche-t-elle le statut « Connexion perdue » dans Systems Manager ?

Remarque : Le résultat varie selon le document Systems Manager que vous utilisez. Pour plus d'informations, consultez les documents AWS Systems Manager.

Consulter les journaux de l'agent SSM

Consultez les journaux de l'agent SSM pour plus de détails sur l'échec du document Exécuter la commande :

Pour Linux et macOS, recherchez les journaux dans les répertoires suivants :

  • /var/log/amazon/ssm/amazon-ssm-agent.log
  • /var/log/amazon/ssm/errors.log
  • /var/log/amazon/ssm/audits/amazon-ssm-agent-audit-AAAA-MM-JJ

Remarque : Les fichiers stderretstdout de l'agent SSM sont écrits dans le répertoire /var/lib/amazon/ssm.

Pour Windows, recherchez les journaux dans les répertoires suivants :

  • %PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log
  • %PROGRAMDATA%\Amazon\SSM\Logs\errors.log
  • %PROGRAMDATA%\Amazon\SSM\Logs\audits\amazon-ssm-agent-audit-AAAA-MM-JJ

Informations connexes

Comprendre les statuts d'automatisation

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 10 mois