¿Por qué no puedo usar el Administrador de sesiones para conectarme a mi instancia de Amazon EC2?

7 minutos de lectura

No puedo usar el Administrador de sesiones, una funcionalidad de AWS Systems Manager, para acceder a mi instancia de Amazon Elastic Compute Cloud (Amazon EC2).

Solución

Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulta Solución de problemas de AWS CLI. Además, asegúrate de utilizar la versión más reciente de la AWS CLI.

Los siguientes motivos pueden provocar que el Administrador de sesiones no se conecte a la instancia de EC2:

Faltan los requisitos previos del Administrador de sesiones
Problemas con los permisos de AWS Identity and Access Management (IAM)
Configuraciones incorrectas de las preferencias del Administrador de sesiones
Problemas con el complemento del Administrador de sesiones
Problemas de conectividad

Para identificar la causa principal de los problemas de conexión y comprobar si hay mensajes de error, consulta los registros de AWS Systems Manager Agent (SSM Agent).

Comprobación del cumplimiento de los requisitos previos del Administrador de sesiones

Asegúrate de que la instancia utilice nodos administrados y de que tu configuración cumpla los requisitos previos del Administrador de sesiones. Para obtener más información, consulta ¿Por qué Systems Manager no muestra mi instancia de Amazon EC2 como una instancia administrada?

Si ejecutas SSM Agent versión 3.1.501.0, puedes usar ssm-cli para comprobar si la instancia cumple los requisitos previos del Administrador de sesiones. La herramienta ssm-cli determina por qué Systems Manager no incluye una instancia en ejecución en la lista de instancias administradas.

Comprobar que el usuario o rol de IAM cuenta con las políticas de IAM necesarias

Confirma que el usuario o rol de IAM que usas para conectarte a la instancia de EC2 tenga las políticas y los permisos de IAM necesarios para el Administrador de sesiones.

Solución de problemas en la configuración de preferencias del Administrador de sesiones

Comprobación de la configuración de AWS KMS

Puedes activar el cifrado de AWS Key Management Service (AWS KMS) en el Administrador de sesiones. Si activas AWS KMS y la instancia no puede llegar a los puntos de enlace de AWS KMS, recibirás el siguiente mensaje de error:

«Your session has been terminated for the following reasons: ----------ERROR------- Encountered error while initiating handshake. Handshake timed out. Please ensure that you have the latest version of the session manager plugin».

Para comprobar la conectividad con los puntos de enlace de AWS KMS, ejecuta el siguiente comando:

telnet kms.RegionID.amazonaws.com 443

Nota: Sustituye RegionID por tu región de AWS.

Si el resultado muestra que no puedes conectarte a su punto de enlace de AWS KMS, configura una conexión al punto de enlace de la nube virtual privada (VPC) de AWS KMS.

Si el perfil de instancia o el usuario de IAM no tienen el permiso kms:Decrypt en la clave, recibirás el siguiente mensaje de error:

«Your session has been terminated for the following reasons: ----------ERROR------- Encountered error while initiating handshake. Fetching data key failed: Unable to retrieve data key, Error when decrypting data key AccessDeniedException: User: arn:aws:sts::account id:assumed-role/instance-profile/instance-id is not authorized to perform: kms:Decrypt on resource: arn:aws:kms:region:account id:key/key-id because no identity-based policy allows the kms:Decrypt action status code: 400»

Para resolver este problema, agrega el permiso kms:Decrypt a la clave de AWS KMS que utilizas para cifrar la sesión.

Si el nombre de recurso de Amazon (ARN) de la clave de AWS KMS que has especificado en el Administrador de sesiones no es correcto o ya no existe, recibirás el siguiente mensaje de error:

«Your session has been terminated for the following reasons: Error calling KMS GenerateDataKey API: NotFoundException: Key 'arn:aws:kms:region:account:key/abcdxyz' does not exist»

Para resolver este problema, comprueba el ARN de la clave de AWS KMS para asegurarte de que es correcto.

Comprobación de la configuración de Amazon S3

Puedes almacenar los datos de la sesión en un bucket de Amazon Simple Storage Service (Amazon S3). Si usas el cifrado de registros y el perfil de instancia no tiene el permiso s3:GetEncryptionConfiguration, recibirás el siguiente mensaje de error:

«Your session has been terminated for the following reasons: Couldn't start the session because we are unable to validate encryption on Amazon S3 bucket. Error: AccessDenied: User:abcd is not authorized to perform: s3:GetEncryptionConfiguration on resource»

Para resolver este problema, agrega los permisos s3:GetEncryptionConfiguration al perfil de instancia.

Si el bucket de S3 que has configurado en el Administrador de sesiones no existe, recibirás el siguiente mensaje de error:

«Your session has been terminated for the following reasons: Couldn't start the session because we are unable to validate encryption on Amazon S3 bucket. Error: NoSuchBucket: The specified bucket does not exist status code: 404»

Para resolver este problema, comprueba que el bucket que has especificado en el Administrador de sesiones es correcto y está disponible.

Comprobación de la configuración del sistema operativo

Si activas la opción de compatibilidad Ejecutar como en las instancias de Linux, puedes iniciar las sesiones con las credenciales de usuario del sistema operativo (SO). Sin embargo, si el nombre de usuario del sistema operativo no existe, recibirás el siguiente mensaje de error:

«Your session has been terminated for the following reasons: ----------ERROR------- Unable to start command: failed to start pty since RunAs user username does not exist»

Para resolver este problema, asegúrate de usar el nombre de usuario predeterminado correcto para tu sistema operativo o de que el nombre de usuario personalizado sea correcto.

Importante: No puedes usar la cuenta de usuario raíz del sistema operativo para autenticar las conexiones con el Administrador de sesiones.

Solución de problemas con los complementos del Administrador de sesiones

Si el volumen raíz de Amazon Elastic Block Store (Amazon EBS) de la instancia está lleno, SSM Agent no puede crear los archivos necesarios. Recibes el siguiente mensaje de error:

«Your session has been terminated for the following reasons: Plugin with name Standard_Stream not found. Step name: Standard_Stream»

Para resolver este problema, aumenta el tamaño del volumen de Amazon EBS y, a continuación, amplía el sistema de archivos. También puedes eliminar los archivos que no utilices para liberar más espacio en disco en la instancia.

Si usas AWS CLI para conectarte a la instancia, debes instalar el complemento del Administrador de sesiones en tu máquina local. Si no instalas el complemento, recibirás el siguiente mensaje de error:

«SessionManagerPlugin is not found. Please refer to SessionManager Documentation here: http://docs.aws.amazon.com/console/systems-manager/session-manager-plugin-not-found»

Solución de problemas de conectividad

Después de iniciar una sesión del Administrador de sesiones, es posible que veas una pantalla en blanco con un cursor parpadeante. Si experimentas este problema, es posible que tu máquina local no esté conectada al punto de enlace del Administrador de sesiones.

Para comprobar la conectividad con el punto de enlace del Administrador de sesiones de AWS, ejecuta el siguiente comando en función de tu sistema operativo.

Linux:

telnet ssmmessages.RegionID.amazonaws.com 443

Nota: Sustituye RegionID por tu región.

Windows:

Test-NetConnection ssmmessages.RegionID.amazonaws.com -port 443

Nota: Sustituye RegionID por tu región.

Si tu instancia está en una subred privada, consulta ¿Cómo creo puntos de enlace de Amazon Virtual Private Cloud (Amazon VPC) para poder usar el Administrador de sesiones para administrar instancias privadas de Amazon EC2 sin acceso a Internet?

Para obtener otros escenarios de solución de problemas, consulta ¿Cómo puedo solucionar los problemas con el Administrador de sesiones de AWS Systems Manager?

Información relacionada

Solución de problemas del Administrador de sesiones

¿Cómo puedo utilizar un túnel SSH a través de AWS Systems Manager para acceder a mis recursos de VPC privados?

Permitir y controlar los permisos para las conexiones SSH a través del Administrador de sesiones

Activación y desactivación del registro de sesiones

Temas: Management & Governance
Etiquetas: AWS Systems Manager
Idioma: Español

OFICIAL DE AWSActualizada hace un año

Sin comentarios

Contenido relevante

No puedo conectarme por RDP a mis instancias en Windows
Leo
preguntada hace 2 meses
no me puedo conectar a mi servidor
User-8377706
preguntada hace 7 meses
Problema al conectar por escritorio remoto Sever 2022
Felix
preguntada hace un año
Conexion a mi instancia
User-8146114
preguntada hace un año
Como obtengo una factura / El administrador ya no existe en la compañía y Servicio de soporte de AWS no responde desde hace varias semanas
Andres Santiago
preguntada hace 5 meses
¿Por qué recibo el error “Plugin with name Standard_Stream not found” cuando uso el Administrador de sesiones para conectarme a mi instancia de Amazon EC2?
OFICIAL DE AWSActualizada hace 6 meses
¿Cómo uso el reenvío de puertos del Administrador de sesiones de Systems Manager sin un host bastión para conectarme a mi instancia de EC2 a través de RDP?
OFICIAL DE AWSActualizada hace 9 meses
¿Cómo puedo usar el Administrador de sesiones para controlar el acceso a mis instancias?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo puedo solucionar los problemas de registro del Administrador de sesiones en Amazon S3 o CloudWatch?
OFICIAL DE AWSActualizada hace un año