¿Cómo puedo solucionar los problemas con el Administrador de sesiones de AWS Systems Manager?
Cuando intento usar el Administrador de sesiones de AWS Systems Manager, se produce un error en mi sesión.
Solución
Los pasos para solucionar los problemas del Administrador de sesiones varían según el motivo del error de la sesión.
Si una sesión falla porque su instancia de Amazon Elastic Compute Cloud (Amazon EC2) no está disponible como instancia administrada, solucione los problemas de disponibilidad de la instancia administrada.
Si se produce un error en una sesión y la instancia de EC2 está disponible como instancia administrada, solucione los problemas del Administrador de sesiones para solucionar estos problemas:
- El Administrador de sesiones no tiene permiso para iniciar una sesión.
- El Administrador de sesiones no tiene permiso para cambiar las preferencias de sesión.
- Un nodo administrado no está disponible o no se ha configurado para el Administrador de sesiones.
- Los complementos del Administrador de sesiones no se agregan a la ruta de la línea de comandos (Windows).
- El sistema envía un error TargetNotConnected.
- El Administrador de sesiones muestra una pantalla en blanco cuando se inicia una sesión.
Si se produce un error en una sesión y aparece uno de los siguientes mensajes de error, siga la guía de solución de problemas correspondiente.
«Your session has been terminated for the following reasons: ----------ERROR------- Encountered error while initiating handshake. Fetching data key failed: Unable to retrieve data key, Error when decrypting data key AccessDeniedException: The ciphertext refers to a AWS KMS key that does not exist, does not exist in this region, or you are not allowed to access. status code: 400, request id: xxxxxxxxxxxx»
Este error se muestra cuando los usuarios y las instancias de EC2 de su cuenta no tienen los permisos de claves necesarios de AWS Key Management Service (AWS KMS). Para solucionar este error, active el cifrado de AWS KMS para los datos de la sesión y, a continuación, siga estos pasos:
1. Conceda los permisos de claves de KMS necesarios a los usuarios que inicien sesiones y a las instancias a las que se conecten las sesiones. A continuación, configure AWS Identity and Access Management (IAM) de modo que proporcione permisos a los usuarios e instancias para usar la clave de KMS con el Administrador de sesiones:
- Para agregar permisos de claves de KMS para usuarios, consulte Quickstart default IAM policies for Session Manager.
- Para agregar permisos de claves de KMS para instancias, consulte Verify or create an IAM role with Session Manager permissions.
- En el caso de la configuración predeterminada de administración de hosts, agregue una política a un rol de IAM que proporcione permisos de claves de KMS.
Nota: A partir de la versión 3.2.582.0 de AWS Systems Manager Agent (SSM Agent), la configuración predeterminada de administración de hosts administra automáticamente las instancias de EC2 sin un perfil de instancia de IAM. Las instancias deben usar la versión 2 del servicio de metadatos de instancias (IMDSv2).
«Your session has been terminated for the following reasons: Couldn't start the session because we are unable to validate encryption on Amazon S3 bucket. Error: AccessDenied: Access Denied status code: 403»
Este error se muestra cuando elige Permitir solo buckets de S3 cifrados en Registro de S3 en sus preferencias del Administrador de sesiones. Siga uno de estos procedimientos para solucionar el error:
- Abra la consola de Systems Manager y, a continuación, elija Administrador de sesiones, Preferencias, Editar. En Registro de S3, desmarque Permitir solo buckets de S3 cifrados y, a continuación, guarde los cambios. Para obtener más información, consulte Logging session data using Amazon Simple Storage Service (Amazon S3) (console).
- En el caso de las instancias administradas con un perfil de instancia de IAM, añada una política al perfil de instancia para proporcionar permisos para cargar registros cifrados en Amazon S3. Para obtener instrucciones, consulte Creating an IAM role with permissions for Session Manager and Amazon S3 and Amazon CloudWatch Logs (console).
- En el caso de las instancias administradas con la configuración predeterminada de administración de hosts, añada una política al rol de IAM para proporcionar permisos para cargar registros cifrados en Amazon S3. Para obtener instrucciones, consulte Creating an IAM role with permissions for Session Manager and Amazon S3 and CloudWatch Logs (console).
«Your session has been terminated for the following reasons: We couldn't start the session because encryption is not set up on the selected CloudWatch Logs log group. Either encrypt the log group or choose an option to enable logging without encryption.»
Este error se muestra cuando elige Permitir solo grupos de registro de CloudWatch cifrados en Registro de CloudWatch en sus preferencias del Administrador de sesiones. Siga uno de estos procedimientos para solucionar el error:
- Abra la consola de Systems Manager y, a continuación, elija Administrador de sesiones, Preferencias, Editar. En Registro de CloudWatch, desmarque Permitir solo grupos de registro de CloudWatch cifrados y, a continuación, guarde los cambios. Para obtener más información, consulte Logging session data using Amazon CloudWatch Logs (console).
- En el caso de las instancias administradas con un perfil de instancia de IAM, añada una política al perfil de instancia para proporcionar permisos para cargar registros cifrados en Amazon CloudWatch. Para obtener instrucciones, consulte Creating an IAM role with permissions for Session Manager and Amazon S3 and CloudWatch Logs (console).
- En el caso de las instancias administradas con la configuración predeterminada de administración de hosts, añada una política al rol de IAM para proporcionar permisos para cargar registros cifrados en CloudWatch. Para obtener instrucciones, consulte Creating an IAM role with permissions for Session Manager and Amazon S3 and CloudWatch Logs (console).
Información relacionada
¿Cómo puedo asociar o reemplazar un perfil de instancia en una instancia de Amazon EC2?
Contenido relevante
- OFICIAL DE AWSActualizada hace 3 años
- OFICIAL DE AWSActualizada hace 5 meses
- OFICIAL DE AWSActualizada hace un año
- OFICIAL DE AWSActualizada hace un año