AWS Systems Manager Session Manager の問題をトラブルシューティングする方法を教えてください。
最終更新日: 2021 年 4 月 20 日
AWS Systems Manager Session Manager を使用しようとすると、セッションが失敗します。Session Manager の問題のトラブルシューティング方法を教えてください。
解決方法
次のいずれかの理由でセッションが失敗した場合は、「Session Manager のトラブルシューティング 」を参照してください。
- セッションを開始する権限がない
- セッションの設定を変更する権限がない
- インスタンスが使用できないか、Session Manager 用に設定されていない
- Session Manager プラグインが見つからない
- Session Manager プラグインがコマンドラインパスに自動的に追加されない (Windows)
- TargetNotConnected
- セッション開始後に空白の画面が表示される
セッションが失敗し、エラーメッセージが表示される
"Your session has been terminated for the following reasons: ----------ERROR------- Encountered error while initiating handshake.Fetching data key failed: Unable to retrieve data key, Error when decrypting data key AccessDeniedException: The ciphertext refers to a AWS KMS key that does not exist, does not exist in this region, or you are not allowed to access. status code: 400, request id: xxxxxxxxxxxx"
アカウント内のユーザーとインスタンスに、必要な AWS KMS キー (KMS キー) 許可がありません。セッションデータの AWS KMS 暗号化を有効にした後は、キーを使用するために必要な許可を付与する必要があります。Identity and Access Management (IAM) ポリシーを使用して、Session Manager で KMS キーを使用するための許可を付与できます。
重要: KMS キー許可は、セッションを開始するユーザーと、そのセッションが接続するインスタンスの両方に付与する必要があります。
- アカウント内のユーザー用の KMS キー許可を追加するには、「Session Manager のデフォルトの IAM ポリシーのクイックスタート」を参照してください。
- アカウント内のインスタンス用の KMS キー許可を追加するには、「Session Manager のアクセス許可を持つ IAM インスタンスプロファイルを確認または作成する」を参照してください。
AWS KMS キーの作成と管理の詳細については、「What is AWS Key Management Service?」を参照してください。
"Your session has been terminated for the following reasons: Couldn't start the session because we are unable to validate encryption on Amazon S3 bucket.Error: AccessDenied: Access Denied status code: 403"
このエラーは、Session Manager の環境設定で [S3 ログ] に [暗号化された S3 バケットのみを許可] を選択した場合に表示されます。
この問題を解決するには、次のトラブルシューティング手順のいずれかを選択します。
- Session Manager の環境設定を開きます。[S3 ログ] で、[暗号化された S3 バケットのみを許可] をオフにします。詳細については、「 Amazon S3 (コンソール) を使用したセッションデータのログ記録」を参照してください。
- インスタンスにアタッチされた IAM インスタンスプロファイルに、暗号化されたログを S3 にアップロードするアクセス許可を付与するポリシーを追加します。手順については、「Session Manager および Amazon S3 および CloudWatch Logs (コンソール) のアクセス許可を持つインスタンスプロファイルの作成」を参照してください。
"Your session has been terminated for the following reasons: We couldn't start the session because encryption is not set up on the selected CloudWatch Logs log group.Either encrypt the log group or choose an option to enable logging without encryption."
このエラーは、Session Manager の環境設定で [CloudWatch Logging] に [暗号化された CloudWatch ロググループのみを許可] を選択した場合に表示されます。
この問題を解決するには、次のトラブルシューティング手順のいずれかを選択します。
- Session Manager の環境設定を開きます。[CloudWatch Logging] の場合は、[暗号化された CloudWatch ロググループのみを許可] をオフにします。詳細については、「Amazon CloudWatch Logs (コンソール) を使用したセッションデータのログ記録」を参照してください。
- インスタンスにアタッチされた IAM インスタンスプロファイルに、暗号化されたログを CloudWatch にアップロードするアクセス許可を付与するポリシーを追加します。手順については、「Session Manager および Amazon S3 および CloudWatch Logs (コンソール) のアクセス許可を持つインスタンスプロファイルの作成」を参照してください。