Wie behebe ich Probleme mit dem AWS Systems Manager Session Manager?
Wenn ich versuche, den AWS Systems Manager Session Manager zu verwenden, schlägt meine Sitzung fehl.
Behebung
Die Schritte zur Behebung von Problemen mit dem Session Manager variieren je nach Grund des Sitzungsfehlers.
Wenn eine Sitzung fehlschlägt, weil Ihre Amazon Elastic Compute Cloud (Amazon EC2)-Instance nicht als verwaltete Instance verfügbar ist, beheben Sie die Verfügbarkeit Ihrer verwalteten Instance.
Wenn eine Sitzung fehlschlägt und Ihre EC2-Instance als verwaltete Instance verfügbar ist, beheben Sie die folgenden Probleme mit dem Session Manager:
- Der Session Manager ist nicht berechtigt, eine Sitzung zu starten.
- Der Session Manager ist nicht berechtigt, die Sitzungseinstellungen zu ändern.
- Ein verwalteter Knoten ist nicht verfügbar oder nicht für den Session Manager konfiguriert.
- Session Manager-Plugins werden dem Befehlszeilenpfad nicht hinzugefügt (Windows).
- Das System sendet einen TargetNotConnected-Fehler.
- Der Session Manager zeigt einen leeren Bildschirm an, wenn Sie eine Sitzung starten.
Wenn eine Sitzung fehlschlägt und eine der folgenden Fehlermeldungen angezeigt wird, wenden Sie die entsprechenden Anleitungen zur Problembehandlung an.
„Your session has been terminated for the following reasons: ----------ERROR------- Encountered error while initiating handshake. Fetching data key failed: Unable to retrieve data key, Error when decrypting data key AccessDeniedException: The ciphertext refers to a AWS KMS key that does not exist, does not exist in this region, or you are not allowed to access. status code: 400, request id: xxxxxxxxxxxx“
Sie erhalten diesen Fehler, wenn die Benutzer und EC2-Instances in Ihrem Konto nicht über die erforderlichen Schlüsselberechtigungen für den AWS Key Management Service (AWS KMS) verfügen. Um diesen Fehler zu beheben, aktivieren Sie die AWS-KMS-Verschlüsselung für Ihre Sitzungsdaten und gehen Sie dann wie folgt vor:
1.Erteilen Sie den Benutzern, die Sitzungen starten, und den Instances, mit denen die Sitzungen eine Verbindung herstellen, die erforderlichen KMS-Schlüsselberechtigungen. Konfigurieren Sie dann AWS Identity and Access Management (IAM), um den Benutzern und Instances die Berechtigungen zur Verwendung des KMS-Schlüssels mit dem Session Manager zu gewähren:
- Informationen zum Hinzufügen von KMS-Schlüsselberechtigungen für Benutzer finden Sie unter Standard-IAM-Schnellstartrichtlinien für den Session Manager.
- Informationen zum Hinzufügen von KMS-Schlüsselberechtigungen für Instances finden Sie unter Überprüfen oder Erstellen einer IAM-Rolle mit Session Manager-Berechtigungen.
- Fügen Sie für die Standard-Hostverwaltungskonfiguration einer IAM-Rolle eine Richtlinie hinzu, die KMS-Schlüsselberechtigungen bereitstellt.
**Hinweis:**Ab Version 3.2.582.0 von AWS Systems Manager Agent (SSM Agent) verwaltet die Standard-Hostverwaltungskonfiguration automatisch EC2-Instances ohne ein IAM-Instance-Profil. Die Instances müssen Instance Metadata Service Version 2 (IMDSv2) verwenden.
„Your session has been terminated for the following reasons: Couldn't start the session because we are unable to validate encryption on Amazon S3 bucket. Error: AccessDenied: Access Denied status code: 403“
Sie erhalten diesen Fehler, wenn Sie in Ihren Session Manager-Einstellungen die Option Nur verschlüsselte S3-Buckets für S3-Protokollierung zulassen auswählen. Gehen Sie wie folgt vor, um den Fehler zu beheben:
- Öffnen Sie die Systems-Manager-Konsole und wählen Sie dann Session Manager, Einstellungen, Bearbeiten aus. Deaktivieren Sie unter S3-Protokollierung die Option Nur verschlüsselte S3-Buckets zulassen und speichern Sie dann Ihre Änderungen. Weitere Informationen finden Sie unter Protokollieren von Sitzungsdaten mit Amazon Simple Storage Service (Amazon S3) (Konsole).
- Für Instances, die Sie mithilfe eines IAM-Instance-Profils verwalten, fügen Sie dem Instance-Profil eine Richtlinie hinzu, um Berechtigungen zum Hochladen verschlüsselter Protokolle auf Amazon S3 bereitzustellen. Anweisungen finden Sie unter Erstellen einer IAM-Rolle mit Berechtigungen für den Session Manager und Amazon S3 und Amazon CloudWatch Logs (Konsole).
- Für Instances, die Sie mit der Standard-Hostverwaltungskonfiguration verwalten, fügen Sie der IAM-Rolle eine Richtlinie hinzu, um Berechtigungen zum Hochladen verschlüsselter Protokolle auf Amazon S3 bereitzustellen. Anweisungen finden Sie unter Erstellen einer IAM-Rolle mit Berechtigungen für den Session Manager und Amazon S3 und CloudWatch Logs (Konsole).
„Your session has been terminated for the following reasons: We couldn't start the session because encryption is not set up on the selected CloudWatch Logs log group. Either encrypt the log group or choose an option to enable logging without encryption.“
Sie erhalten diesen Fehler, wenn Sie in Ihren Session Manager-Einstellungen die Option Nur verschlüsselte CloudWatch-Protokollgruppen zulassen für die CloudWatch-Protokollierung auswählen. Gehen Sie wie folgt vor, um den Fehler zu beheben:
- Öffnen Sie die Systems-Manager-Konsole und wählen Sie dann Session Manager, Einstellungen, Bearbeiten aus. Deaktivieren Sie unter CloudWatch-Protokollierung die Option Nur verschlüsselte CloudWatch-Protokollgruppen zulassen und speichern Sie dann Ihre Änderungen. Weitere Informationen finden Sie unter Protokollieren von Sitzungsdaten mit Amazon CloudWatch Logs (Konsole).
- Für Instances, die Sie mithilfe eines IAM-Instance-Profils verwalten, fügen Sie dem Instance-Profil eine Richtlinie hinzu, um Berechtigungen zum Hochladen verschlüsselter Protokolle auf Amazon CloudWatch bereitzustellen. Anweisungen finden Sie unter Erstellen einer IAM-Rolle mit Berechtigungen für den Session Manager und Amazon S3 und CloudWatch Logs (Konsole).
- Für Instances, die Sie mit der Standard-Hostverwaltungskonfiguration verwalten, fügen Sie der IAM-Rolle eine Richtlinie hinzu, um Berechtigungen zum Hochladen verschlüsselter Protokolle auf CloudWatch bereitzustellen. Anweisungen finden Sie unter Erstellen einer IAM-Rolle mit Berechtigungen für den Session Manager und Amazon S3 und CloudWatch Logs (Konsole).
Ähnliche Informationen
Wie füge ich ein Instance-Profil an eine Amazon EC2-Instance oder ersetze es?
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor 3 Jahren