Por que não consigo usar o Session Manager para me conectar a uma instância do Amazon EC2?

4 minuto de leitura

Não consigo usar o Session Manager, um recurso do AWS Systems Manager, para acessar uma instância do Amazon Elastic Compute Cloud (Amazon EC2).

Resolução

Os seguintes motivos podem impedir que você se conecte ao Session Manager para acessar uma instância:

Preferências de sessão incorretas
Problemas de permissão do AWS Identity and Access Management (IAM)
Alto uso de recursos na instância

Se você não conseguir se conectar ao Session Manager, siga as etapas de solução de problemas adequadas para o seu caso.

Verifique se você atende aos pré-requisitos do Systems Manager

Confirme se a instância aparece como uma instância gerenciada e, em seguida, verifique se você atende a todos os pré-requisitos do Session Manager. Para obter mais informações, consulte Por que minha instância do EC2 não está sendo exibida como um nó gerenciado ou está mostrando o status "Conexão perdida" no Systems Manager?

Solucionar problemas de configuração do AWS KMS

Analise as mensagens de erro do Session Manager para determinar o tipo de problema. Em seguida, siga estas etapas de solução de problemas para resolver o problema.

Erro: "Foi encontrado um erro ao iniciar o handshake. O handshake atingiu o tempo limite. Certifique-se de ter a versão mais recente do plug-in do session manager"

O erro anterior significa que a criptografia do AWS Key Management System (AWS KMS) está ativada nas preferências do Session Manager e a instância não pode alcançar os endpoints do AWS KMS.

Execute o comando a seguir para verificar a conectividade com os endpoints do AWS KMS:

Observação: substitua RegionID pela sua região da AWS.

$ telnet kms.RegionID.amazonaws.com 443

Para obter mais informações e instruções sobre como se conectar aos endpoints do AWS KMS, consulte Conectar-se ao AWS KMS por meio de um endpoint da VPC.

**Erro: "Foi encontrado um erro ao iniciar o handshake. Falha na busca pela chave de dados: Não foi possível recuperar a chave de dados. Erro ao descriptografar a chave de dados AccessDeniedException" **

Confirme se o perfil de instância ou o usuário têm a permissão kms:Decrypt necessária para a chave do AWS KMS usada para criptografar a sessão. Para obter mais informações, consulte Adicionar permissões do Session Manager a uma função do IAM existente.

Erro: "Nome de chave inválido: sua sessão foi encerrada pelos seguintes motivos: NotFoundException: keyId xxxx inválida"

Verifique se o ARN da chave de criptografia do AWS KMS é válido. Verifique os ARNs de chave disponíveis para confirmar se o ARN especificado nas preferências do Session Manager corresponde a um dos ARNs disponíveis. Para obter mais informações, consulte Como encontrar o ID e o ARN da chave.

Verifique se o nome de usuário RunAs é válido

Erro: "Nome de usuário RunAs inválido"

-ou-

Erro: "Não foi possível iniciar o shell: falha ao iniciar o pty porque o usuário RunAs xyz não existe"

Se a opção Ativar suporte Run As para instâncias Linux especificar um nome de usuário do sistema operacional (SO) que não é válido, o Session Manager falhará com esses erros.

Para resolver esse problema, forneça um nome de usuário de sistema operacional válido (por exemplo, ubuntu, ec2-user ou centos). Você pode especificar o sistema operacional das seguintes maneiras:

Configure as preferências do Session Manager.
Marque o usuário ou perfil do IAM que inicia a sessão com a chave de tag de SSMSessionRunAs e o valor de os-user-account-name.
Desmarque a opção Ativar suporte Run As para instâncias do Linux.

Para obter mais informações, veja Ativar o suporte run as para nós gerenciados de Linux e macOS.

Solucionar problemas de tela em branco exibida após o início de uma sessão

Se sua tela estiver em branco quando você iniciar uma sessão do Session Manager, consulte Tela em branco exibida após iniciar uma sessão.

Outras etapas de solução de problemas

Para obter mais informações e outros cenários de solução de problemas, consulte Como solucionar problemas com o Session Manager do AWS Systems Manager?

Informações relacionadas

Solução de problemas do Session Manager

Como usar um túnel SSH por meio do AWS Systems Manager para acessar meus recursos privados de VPC?

Permitir e controlar permissões de conexões SSH por meio do Session Manager

Registrar a atividade de sessão em log

Tópicos

Gestão e governança

Conteúdo relevante

Por que não consigo me conectar a uma porta em uma instância do Windows do EC2?
AWS OFICIALAtualizada há 2 anos
Como configurar um bucket central do Amazon S3 para o registro do Session Manager a partir de várias contas?
AWS OFICIALAtualizada há 10 meses
Como posso controlar o acesso às minhas instâncias usando o Session Manager?
AWS OFICIALAtualizada há 3 anos
Como posso alterar o shell do Session Manager para bash em instâncias do EC2 Linux?
AWS OFICIALAtualizada há 3 anos