State Manager の関連付けのステータスが「失敗」または「保留中」のままである状態をトラブルシューティングするにはどうすればよいですか?

簡単な説明

AWS Systems Manager の機能の 1 つである State Manager は、安全でスケーラブルな設定管理サービスです。State Manager により、マネージドノードおよび他の AWS リソースを定義された状態に保つプロセスが自動化されます。

AWS Systems Manager State Manager の関連付けは、マネージドインスタンスに割り当てられる設定です。この設定では、インスタンスで維持する状態を定義します。

State Manager の関連付けを作成すると、Systems Manager では指定したスケジュール、ターゲット、ドキュメント、およびパラメータ情報がマネージドインスタンスにバインドされます。システムがすべてのターゲットに到達し、関連付けで指定された状態をすぐに適用すると、関連付けのステータスは [保留中] になります。

前提条件

Systems Manager のロールとアクセス許可

関連付けをユーザーが作成できるようにするには、AWS 管理ポリシー AmazonSSMFullAccess をユーザーにアタッチする必要があります。

AWS Systems Manager の機能である Run Command では、State Manager を使用する場合、ターゲットのインスタンスはマネージドインスタンスである必要があります。State Manager を使用するには、Systems Manager のドキュメントを取得および実行するアクセス許可を持つ AWS Identity and Access Management (IAM) ロールが必要です。このロールに最低限必要なアクセス許可は、ロールの AmazonSSMManagedInstanceCore 管理ポリシーに記載されています。

オートメーション関連付け

State Manager がオートメーションドキュメントをターゲットとしている場合は、オートメーションを実行するためのアクセス許可も必要です。詳細については、「方法 2: IAM を使用して、オートメーションのロールを設定する」を参照してください。

接続およびエージェントの設定

次のリソースおよび設定が構成されていることを確認します。

• Run Command を使用するための AWS Systems Manager Agent (SSM Agent) がインスタンスにインストールされている。
• オンプレミスのマネージドインスタンスを除くすべてのターゲットインスタンスからメタデータにアクセスできる。
• ターゲットインスタンスが、TCP 443 を使用したアウトバウンドインターネットアクセスで SSM リージョン別サービスエンドポイント ec2messages.region-id.amazonaws.com および ssm.region-id.amazonaws.com にアクセスできる。

関連付けのステータスが [保留中] または [失敗] のまま変わらない場合のトラブルシューティング

関連付けが [保留中] または [失敗] のままである場合は、まず GitHub のウェブサイトを確認して、最新バージョンの SSM Agent がインストールされていることを確認します。次に、関連付けが適用されているリソースのステータスを確認し、履歴を表示して呼び出しがあったかどうかを確認します。

ステータスを確認するには、次の手順を実行します。

1. Systems Manager コンソールを開きます。
2. ナビゲーションペインで、[ステートマネージャー] を選択します。
3. [保留中] または [失敗] の状態のままになっている関連付けの関連付け ID を選択します。
4. [実行履歴] タブを選択して、呼び出し履歴を表示します。履歴に呼び出しが表示されている場合は、[実行 ID] を選択すると、リソースタイプ、ステータス、その他の詳細が表示されます。
   注: 履歴に呼び出しが表示されていない場合は、インスタンスがマネージドインスタンスであることを確認します。Systems Manager コンソールで、[マネージドインスタンス] にインスタンスが表示されており、[SSM Agent の ping の状態] が [オンライン] である必要があります。
5. [リソース ID] を選択し、ターゲットインスタンスの [実行 ID の関連実行ターゲット] を選択します。
6. ターゲットインスタンスのリソース ID を選択し、[出力] を選択します。

出力には、関連付けが失敗した理由に関する詳細とエラーメッセージが表示されます。エラーメッセージの詳細については、次を参照してください。

• AWS Systems Manager の機能である Automation については、「Systems Manager Automation のトラブルシューティング」を参照してください。
• Run Command ついては、「Systems Manager Run Command のトラブルシューティング」を参照してください。

インスタンスが [マネージドインスタンス] に表示されない場合や、[SSM Agent の ping の状態] が [接続が失われました] である場合は、追加のトラブルシューティングが必要です。これらの問題のトラブルシューティングについては、「Systems Manager で EC2 インスタンスがマネージドノードとして表示されない、または「接続が失われました」というステータスが表示されるのはなぜですか?」を参照してください。

**注:**使用する Systems Manager ドキュメントによって、出力は異なります。詳細については、「AWS Systems Manager ドキュメント」を参照してください。

SSM Agent ログの表示

Run Command ドキュメントの失敗に関する詳細については、「SSM Agent ログの表示」を確認してください。

Linux および macOS の場合、次のディレクトリでログを特定します。

• /var/log/amazon/ssm/amazon-ssm-agent.log
• /var/log/amazon/ssm/errors.log
• /var/log/amazon/ssm/audits/amazon-ssm-agent-audit-YYYY-MM-DD

注: SSM Agent の stderr および stdout ファイルは、/var/lib/amazon/ssm ディレクトリに書き込まれます。

Windows の場合、次のディレクトリでログを特定します。

• %PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log
• %PROGRAMDATA%\Amazon\SSM\Logs\errors.log
• %PROGRAMDATA%\Amazon\SSM\Logs\audits\amazon-ssm-agent-audit-YYYY-MM-DD

関連情報

オートメーションステータスについて理解する