¿Cómo puedo solucionar los problemas con el Administrador de sesiones de AWS Systems Manager?

7 minutos de lectura

Cuando intento usar el Administrador de sesiones de AWS Systems Manager, se produce un error en mi sesión.

Solución

Si una sesión falla porque tu instancia de Amazon Elastic Compute Cloud (Amazon EC2) no está disponible como instancia administrada, soluciona los problemas de disponibilidad de la instancia administrada.

Si se produce un error en una sesión y tu instancia de Amazon EC2 está disponible como instancia administrada, soluciona los problemas del Administrador de sesiones para solventar los siguientes problemas:

El Administrador de sesiones no tiene permiso para iniciar una sesión.
El Administrador de sesiones no tiene permiso para cambiar las preferencias de sesión.
Un nodo administrado no está disponible o no se ha configurado para el Administrador de sesiones.
Los complementos del Administrador de sesiones no se agregan a la ruta de la línea de comandos (Windows).
El sistema envía un error TargetNotConnected.
El Administrador de sesiones muestra una pantalla en blanco cuando inicias una sesión.

Si se produce un error en una sesión y aparece uno de los siguientes mensajes de error, aplica la guía de solución de problemas correspondiente.

«Your session has been terminated for the following reasons: ----------ERROR------- Encountered error while initiating handshake. Fetching data key failed: Unable to retrieve data key, Error when decrypting data key AccessDeniedException: The ciphertext refers to a AWS KMS key that does not exist, does not exist in this region, or you are not allowed to access. status code: 400, request id: nnnnnnnnnnnn»

Este error se muestra cuando los usuarios y las instancias de EC2 de tu cuenta no tienen los permisos de claves necesarios de AWS Key Management Service (AWS KMS). Para solucionar este error, activa el cifrado de AWS KMS para los datos de la sesión y, a continuación, sigue estos pasos:

Concede los permisos de claves de AWS KMS necesarios a los usuarios que inicien sesiones y a las instancias a las que se conecten las sesiones.
Configura AWS Identity and Access Management (IAM) de modo que proporciones permisos a los usuarios e instancias para usar la clave de AWS KMS con el Administrador de sesiones:
Para agregar permisos de claves de AWS KMS para los usuarios, consulta Ejemplos de políticas de IAM para el Administrador de sesiones.
Para agregar permisos de claves de AWS KMS para las instancias, consulta Verificación o agregación de permisos de instancia para el Administrador de sesiones.
En el caso de la configuración predeterminada de administración de hosts, agrega una política a un rol de IAM que proporcione permisos de claves de AWS KMS.

Nota: A partir de la versión 3.2.582.0 de AWS Systems Manager Agent (SSM Agent), la configuración predeterminada de administración de hosts administra automáticamente las instancias de EC2 sin un perfil de instancia de IAM. Las instancias deben usar la versión 2 del Servicio de metadatos de instancias (IMDSv2).

«Error - Fleet Manager is unable to start the session because the WebSocket connection closed unexpectedly during the handshake. Verify that your instance profile has sufficient Sessions Manager and AWS KMS permissions. For a more detailed message, visit the Session Manager console»

Es posible que aparezca este error si el rol del perfil de instancia asociado a la instancia de destino no tiene el siguiente permiso. Para usar AWS Systems Manager con AWS KMS, se requiere el permiso kms:Decrypt para permitir el cifrado y el descifrado de las claves del cliente para los datos de la sesión.

{
    "Effect":   "Allow",
    "Action":  [
          "kms:Decrypt"
    ],
    "Resource": "key-name"
}

Para solucionar este error, actualiza los permisos del rol del perfil de instancia asociado a tu instancia. Para ver un ejemplo de permisos del Administrador de sesiones, consulta Adición de permisos del Administrador de sesiones a un rol de IAM existente.

«Your session has been terminated for the following reasons: Couldn't start the session because we are unable to validate encryption on Amazon S3 bucket. Error: AccessDenied: Access Denied status code: 403»

Este error se muestra cuando eliges Permitir solo buckets de S3 cifrados en Registro de S3 en tus preferencias del Administrador de sesiones. Para solucionar el error, sigue estos pasos:

Abre la consola de AWS Systems Manager.
Elige Administrador de sesiones, Preferencias y, a continuación, selecciona Editar.
En Registro de S3, desmarca Permitir solo buckets de S3 cifrados y, a continuación, guarda los cambios.
Para obtener más información, consulta Registro de los datos de la sesión con Amazon S3 (consola).
En el caso de las instancias administradas con un perfil de instancia de IAM, agrega una política al perfil de instancia que proporcione permisos para cargar registros cifrados en Amazon S3. Para obtener instrucciones, consulta Creación de un rol de IAM con permisos para el Administrador de sesiones, Amazon S3 y los Registros de Amazon CloudWatch (consola).
En el caso de las instancias administradas con la configuración predeterminada de administración de hosts, agrega una política al rol de IAM que proporcione permisos para cargar registros cifrados en Amazon S3. Para obtener más información, consulta Creación de un rol de IAM con permisos para el Administrador de sesiones, Amazon S3 y los Registros de CloudWatch (consola).

«Your session has been terminated for the following reasons: We couldn't start the session because encryption is not set up on the selected CloudWatch Logs log group. Either encrypt the log group or choose an option to enable logging without encryption»

Este error se muestra cuando eliges Permitir solo grupos de registro de CloudWatch cifrados en Registro de CloudWatch en tus preferencias del Administrador de sesiones. Para solucionar este error, sigue estos pasos:

Abre la consola de AWS Systems Manager.
Elige Administrador de sesiones, Preferencias y, a continuación, selecciona Editar.
En Registro de CloudWatch, desmarca Permitir solo grupos de registro de CloudWatch cifrados y, a continuación, guarda los cambios.
Para obtener más información, consulta Registro de los datos de la sesión con los Registros de Amazon CloudWatch (consola).
En el caso de las instancias administradas con un perfil de instancia de IAM, agrega una política al perfil de instancia que proporcione los permisos para cargar registros cifrados en Amazon CloudWatch. Para obtener instrucciones, consulta Creación de un rol de IAM con permisos para el Administrador de sesiones, Amazon S3 y los Registros de CloudWatch (consola).
En el caso de las instancias administradas con la configuración predeterminada de administración de hosts, agrega una política al rol de IAM que proporcione permisos para cargar registros cifrados en CloudWatch. Para obtener instrucciones, consulta Creación de un rol de IAM con permisos para el Administrador de sesiones, Amazon S3 y los Registros de CloudWatch (consola).

«Your session has been terminated for the following reasons: ----------ERROR------- Unable to start command: Failed to create user ssm-user: Instance is running active directory domain controller service. Disable the service to continue to use session manager»

Es posible que aparezca este error cuando utilices AWS Systems Manager para Windows Server. La causa de este error depende de la versión de SSM Agent que se ejecute en la instancia.

En la versión 2.3.612.0 de SSM Agent y versiones posteriores, la cuenta ssm-user no se crea automáticamente en equipos con Windows Server utilizados como controladores de dominio. La cuenta de usuario con el nombre ssm-user debe crearse manualmente y configurarse con los permisos necesarios.
Para identificar la versión de SSM Agent, consulta Verificación del número de versión de SSM Agent. Consulta también las notas de publicación de la versión de SSM Agent en el sitio web de GitHub.
Para suscribirte a las notificaciones de SSM Agent, consulta Suscripción a las notificaciones de SSM Agent.
Para configurar SSM Agent de modo que se actualice automáticamente, consulta Automatización de las actualizaciones de SSM Agent.

Información relacionada

¿Cómo puedo asociar o reemplazar un perfil de instancia en una instancia de Amazon EC2?

Habilitar y deshabilitar el registro de la sesión

Configuración del Administrador de sesiones

Temas: Management & Governance
Etiquetas: AWS Systems Manager
Idioma: Español

Vídeos relacionados

Ve el vídeo de Fouad para obtener más información (11:46)

OFICIAL DE AWSActualizada hace un año

Sin comentarios

Contenido relevante

Channel is Disconected AWS Agent Migration
SergioCerecer
preguntada hace 5 meses
Problemas con webs alojadas y certificados SSL
Javier
preguntada hace 2 meses
Error en MFA, al solicitar la llamada de reestablecer
roberto
preguntada hace 7 días
Problema al conectar por escritorio remoto Sever 2022
Felix
preguntada hace 7 meses
SOLUCION A RECHAZO DE CREDITOS AWS Activate
Andres
preguntada hace un año
¿Cómo puedo solucionar los problemas de registro del Administrador de sesiones en Amazon S3 o CloudWatch?
OFICIAL DE AWSActualizada hace 7 meses
¿Cómo puedo usar el Administrador de sesiones para controlar el acceso a mis instancias?
OFICIAL DE AWSActualizada hace un año
¿Por qué no puedo usar el Administrador de sesiones para conectarme a mi instancia de Amazon EC2?
OFICIAL DE AWSActualizada hace 6 meses
¿Cómo uso el Administrador de sesiones para crear el reenvío de puertos?
OFICIAL DE AWSActualizada hace 6 meses