AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

¿Cómo puedo solucionar los problemas de registro del Administrador de sesiones en Amazon S3 o CloudWatch?

4 minutos de lectura

Quiero saber por qué el Administrador de sesiones de AWS Systems Manager no envía registros a Amazon Simple Storage Service (Amazon S3) o Amazon CloudWatch.

Descripción corta

Los siguientes son los motivos por los que el Administrador de sesiones no envía registros a Amazon S3 o CloudWatch:

Registro del Administrador de sesiones configurado incorrectamente
Política de AWS Identity and Access Management (IAM) y permisos de bucket de S3 incorrectos
Problemas de accesibilidad de los puntos de enlace de Amazon Virtual Private Cloud (Amazon VPC)
Al rol de IAM le faltan los permisos necesarios para el registro de CloudWatch

Requisitos previos:

Resolución

Nota: Si se muestran errores al poner en marcha comandos de AWS CLI, consulta Solución de errores de AWS CLI. Además, asegúrate de utilizar la versión más reciente de la AWS CLI.

Verificar la configuración de registro del Administrador de sesiones

Para activar el registro de datos de sesión, confirma que has configurado el Administrador de sesiones para Amazon S3 o Registros de CloudWatch.

Al configurar Registros de CloudWatch, sigue estas prácticas recomendadas:

Revisa las preferencias del Administrador de sesiones para comprobar que has activado Registros de CloudWatch.
Confirma si has especificado un nombre de grupo de registro válido.
Asegúrate de que el grupo de registro especificado existe en CloudWatch.

Comprobación de la política de IAM y los permisos de bucket de Amazon S3

Para que el Administrador de sesiones cargue los registros a Amazon S3, el rol de IAM que has asociado a la instancia debe tener los permisos necesarios.

Para solucionar los registros que faltan en Amazon S3, haz lo siguiente:

Comprueba que tu rol de perfil de instancia de Amazon Elastic Compute Cloud (Amazon EC2) tenga los permisos de IAM de S3 correctos con el ARN del bucket de S3.
Comprueba que la política de bucket de S3 permita el rol de perfil de instancia como entidad principal con las acciones de S3 necesarias en el bucket de S3.

Comprobación de la accesibilidad de los puntos de enlace de Amazon VPC

Si tu instancia de Amazon EC2 no tiene acceso a Internet, debes crear puntos de enlace de Amazon VPC para que el Administrador de sesiones inicie sesión en Amazon S3 o CloudWatch.

Comprueba tu red de extremo a extremo y confirma que el tráfico HTTPS está abierto en los siguientes puntos de enlace:

HTTPS://ec2.region-code.amazonaws.com
HTTPS://ec2messages.código-región.amazonaws.com
HTTPS://ssm.código-región.amazonaws.com
HTTPS://ssmmessages.código-región.amazonaws.com
HTTPS://s3.código-región.amazonaws.com
HTTPS://monitoring.region-code.amazonaws.com

Para crear un punto de enlace, consulta Conexión a un servicio de punto de enlace como consumidor del servicio.

Configuración de una política de IAM para el registro de CloudWatch

Si faltan registros de sesión o secuencia en el grupo de registro de CloudWatch, el rol del perfil de instancia no tiene los permisos de IAM correctos.

Para crear secuencias de registro y colocar eventos de registro en CloudWatch, el Administrador de sesiones debe tener los siguientes permisos en la política de IAM:

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:REGION:ACCOUNT-ID:log-group:LOG-GROUP-NAME:*"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "logs:DescribeLogGroups",
"Resource": "*"
}
]
}

Nota:

En la política anterior, sustituye REGION, ACCOUNT-ID y LOG-GROUP-NAME por tu región de AWS, tu ID de cuenta de AWS y el nombre del grupo de registro.
Si has cifrado el grupo de registro de CloudWatch con una clave administrada por el cliente de AWS Key Management Service (AWS KMS), concede permiso al rol del perfil de instancia para usarla. La política de claves de AWS KMS debe permitir que el rol acceda a la clave.

"Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/ssm/my-log-group:*"

Resolución de problemas adicionales

Para solucionar los problemas de Registros de CloudWatch, consulta el historial de eventos de AWS CloudTrail en función de las acciones y las marcas de tiempo. Para obtener más información, consulta Registro de las operaciones de consola y API de Registros de CloudWatch en AWS CloudTrail.

Información relacionada

¿Cómo puedo solucionar los problemas con el Administrador de sesiones de AWS Systems Manager?

Temas: Management & Governance
Etiquetas: AWS Systems Manager
Idioma: Español

OFICIAL DE AWSActualizada hace 9 meses

Sin comentarios

Contenido relevante

Validación del uso de CloudFront en un entorno multi-tenant con behaviors + Lambda@Edge y recomendaciones para obtener un comportamiento predecible.
F_Ruben
preguntada hace 3 meses
Lambda HTTP Authorizer y función no generan logs en CloudWatch cuando están en warm start
EstebanRojasBarrera
preguntada hace 9 meses
Como solucionar el error: Supplied Policy document is breaching Cloudwatch Logs policy length limit.
Respuesta aceptada
Enrique
preguntada hace un año
Restricción o Control de Almacenamiento de S3
User-5622957
preguntada hace 6 meses
Problema de cors en cloudfront
Jorge
preguntada hace 9 meses
¿Cómo puedo configurar un bucket central de Amazon S3 para el registro del Administrador de sesiones desde varias cuentas de AWS?
OFICIAL DE AWSActualizada hace 8 meses
¿Cómo puedo solucionar los problemas con el Administrador de sesiones de AWS Systems Manager?
OFICIAL DE AWSActualizada hace un año
¿Cómo puedo solucionar los problemas con los registros de CloudWatch que no se exportan a buckets de S3?
OFICIAL DE AWSActualizada hace 2 años
¿Por qué no puedo usar el Administrador de sesiones para conectarme a mi instancia de Amazon EC2?
OFICIAL DE AWSActualizada hace 8 meses