AWS Systems Manager Session Manager の問題をトラブルシューティングする方法を教えてください。

最終更新日: 2021 年 4 月 20 日

AWS Systems Manager Session Manager を使用しようとすると、セッションが失敗します。Session Manager の問題のトラブルシューティング方法を教えてください。


Session Manager の問題をトラブルシューティングする手順は、セッションが失敗した理由によって異なります。

次のいずれかの理由でセッションが失敗した場合は、「Session Manager のトラブルシューティング 」を参照してください。

  • セッションを開始する権限がない
  • セッションの設定を変更する権限がない
  • インスタンスが使用できないか、Session Manager 用に設定されていない
  • Session Manager プラグインが見つからない
  • Session Manager プラグインがコマンドラインパスに自動的に追加されない (Windows)
  • TargetNotConnected
  • セッション開始後に空白の画面が表示される



"Your session has been terminated for the following reasons: ----------ERROR------- Encountered error while initiating handshake.Fetching data key failed: Unable to retrieve data key, Error when decrypting data key AccessDeniedException: The ciphertext refers to a AWS KMS key that does not exist, does not exist in this region, or you are not allowed to access. status code: 400, request id: xxxxxxxxxxxx"

アカウント内のユーザーとインスタンスに、必要な AWS KMS キー (KMS キー) 許可がありません。セッションデータの AWS KMS 暗号化を有効にした後は、キーを使用するために必要な許可を付与する必要があります。Identity and Access Management (IAM) ポリシーを使用して、Session Manager で KMS キーを使用するための許可を付与できます。

重要: KMS キー許可は、セッションを開始するユーザーと、そのセッションが接続するインスタンスの両方に付与する必要があります。

AWS KMS キーの作成と管理の詳細については、「What is AWS Key Management Service?」を参照してください。

"Your session has been terminated for the following reasons: Couldn't start the session because we are unable to validate encryption on Amazon S3 bucket.Error: AccessDenied: Access Denied status code: 403"

このエラーは、Session Manager の環境設定で [S3 ログ] に [暗号化された S3 バケットのみを許可] を選択した場合に表示されます。


"Your session has been terminated for the following reasons: We couldn't start the session because encryption is not set up on the selected CloudWatch Logs log group.Either encrypt the log group or choose an option to enable logging without encryption."

このエラーは、Session Manager の環境設定で [CloudWatch Logging] に [暗号化された CloudWatch ロググループのみを許可] を選択した場合に表示されます。