AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Pourquoi ne puis-je pas utiliser le gestionnaire de session pour me connecter à mon instance Amazon EC2 ?

Lecture de 7 minute(s)

Je ne peux pas utiliser le gestionnaire de session, une fonctionnalité d'AWS Systems Manager, pour accéder à mon instance Amazon Elastic Compute Cloud (Amazon EC2).

Résolution

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l'interface.

Les raisons suivantes peuvent empêcher votre gestionnaire de session de se connecter à votre instance EC2 :

Prérequis du gestionnaire de session manquants
Problèmes liés aux autorisations de Gestion des identités et des accès AWS (AWS IAM)
Configurations incorrectes des préférences du gestionnaire de sessions
Problèmes liés au plug-in Gestionnaire de session
Problèmes de connectivité

Pour identifier la cause première des problèmes de connexion et vérifier la présence de messages d'erreur, consultez les journaux d’AWS Systems Manager Agent (SSM Agent).

Vérifier que vous répondez aux prérequis du gestionnaire de session

Assurez-vous que l'instance utilise des nœuds gérés et que votre configuration est conforme aux prérequis du gestionnaire de session. Pour en savoir plus, consultez la section Pourquoi Systems Manager n'affiche-t-il pas mon instance Amazon EC2 en tant qu'instance gérée ?

Si vous exécutez SSM Agent version 3.1.501.0, vous pouvez utiliser ssm-cli pour vérifier si l'instance répond aux prérequis du gestionnaire de session. L'outil ssm-cli détermine pourquoi Systems Manager n'inclut pas d'instance en cours d'exécution dans la liste des instances gérées.

Vérifier que votre utilisateur ou votre rôle IAM dispose des politiques IAM nécessaires

Vérifiez que l'utilisateur ou le rôle IAM que vous utilisez pour vous connecter à l'instance EC2 dispose des politiques et des autorisations IAM nécessaires pour le gestionnaire de session.

Résoudre les problèmes liés au paramètre Préférences du gestionnaire de session

Vérifier votre configuration AWS KMS

Vous pouvez activer le chiffrement AWS Key Management Service (AWS KMS) dans le gestionnaire de session. Si vous activez AWS KMS et que l'instance ne parvient pas à atteindre les points de terminaison AWS KMS, le message d'erreur suivant s'affiche :

« Your session has been terminated for the following reasons: ----------ERROR------- Encountered error while initiating handshake. Handshake timed out. Please ensure that you have the latest version of the session manager plugin. »

Exécutez la commande suivante pour vérifier la connectivité aux points de terminaison AWS KMS :

telnet kms.RegionID.amazonaws.com 443

Remarque : Remplacez RegionID par votre région AWS.

Si le résultat indique que vous ne pouvez pas vous connecter à votre point de terminaison AWS KMS, configurez une connexion au point de terminaison du cloud privé virtuel (VPC) AWS KMS.

Si le profil d'instance ou l'utilisateur IAM ne dispose pas de l'autorisation kms:Decrypt sur la clé, le message d'erreur suivant s'affiche :

« Your session has been terminated for the following reasons: ----------ERROR------- Encountered error while initiating handshake. Fetching data key failed: Unable to retrieve data key, Error when decrypting data key AccessDeniedException: User: arn:aws:sts::account id:assumed-role/instance-profile/instance-id is not authorized to perform: kms:Decrypt on resource: arn:aws:kms:region:account id:key/key-id because no identity-based policy allows the kms:Decrypt action status code: 400) »

Pour résoudre ce problème, ajoutez l'autorisation kms:Decrypt pour la clé AWS KMS que vous utilisez pour chiffrer la session.

Si l’Amazon Resource Name (ARN) de la clé AWS KMS que vous spécifiez dans le gestionnaire de session n'est pas correcte ou n'existe plus, le message d'erreur suivant s'affiche :

« Your session has been terminated for the following reasons: Error calling KMS GenerateDataKey API: NotFoundException: Key 'arn:aws:kms:region:account:key/abcdxyz' does not exist »

Pour résoudre ce problème, vérifiez l'ARN de la clé AWS KMS pour vous assurer qu'il est correct.

Vérifier la configuration de votre Amazon S3

Vous pouvez stocker le fichier dans un compartiment Amazon Simple Storage Service (Amazon S3). Si vous utilisez le chiffrement de journal et que le profil d'instance ne dispose pas de l'autorisation s3:GetEncryptionConfiguration, le message d'erreur suivant s'affiche :

« Your session has been terminated for the following reasons: Couldn't start the session because we are unable to validate encryption on Amazon S3 bucket. Error: AccessDenied: User:abcd is not authorized to perform: s3:GetEncryptionConfiguration on resource »

Pour résoudre ce problème, ajoutez les autorisations s3:GetEncryptionConfiguration au profil d'instance.

Si le compartiment S3 que vous avez configuré dans le gestionnaire de session n'existe pas, le message d'erreur suivant s'affiche :

« Your session has been terminated for the following reasons: Couldn't start the session because we are unable to validate encryption on Amazon S3 bucket. Error: NoSuchBucket: The specified bucket does not exist status code: 404 »

Pour résoudre ce problème, vérifiez que le compartiment que vous avez spécifié dans le gestionnaire de session est correct et disponible.

Vérifier la configuration de votre système d'exploitation

Si vous activez Exécuter en tant que support sur vos instances Linux, vous pouvez démarrer des sessions avec les informations d'identification utilisateur du système d'exploitation (OS). Toutefois, si le nom d'utilisateur du système d'exploitation n'existe pas, le message d'erreur suivant s'affiche :

« Your session has been terminated for the following reasons: ----------ERROR------- Unable to start command: failed to start pty since RunAs user username does not exist »

Pour résoudre ce problème, assurez-vous que vous utilisez le nom d'utilisateur par défaut approprié pour votre système d'exploitation ou que le nom d'utilisateur personnalisé est exact.

Important : Vous ne pouvez pas utiliser le compte utilisateur racine du système d'exploitation pour authentifier les connexions avec le gestionnaire de session.

Résoudre les problèmes liés au plug-in Gestionnaire de session

Si le volume Amazon Elastic Block Store (Amazon EBS) racine de l'instance est plein, SSM Agent ne peut pas créer les fichiers requis. Le message d’erreur suivant s’affiche :

« Your session has been terminated for the following reasons: Plugin with name Standard_Stream not found. Step name: Standard_Stream »

Pour résoudre ce problème, augmentez la taille du volume Amazon EBS, puis étendez le système de fichiers. Vous pouvez également supprimer les fichiers que vous n'utilisez pas pour libérer de l'espace disque sur l'instance.

Si vous utilisez l'AWS CLI pour vous connecter à l'instance, vous devez installer le plug-in Gestionnaire de session sur votre machine locale. Si vous n'installez pas le plug-in, le message d'erreur suivant s'affiche :

« SessionManagerPlugin is not found. Please refer to SessionManager Documentation here: http://docs.aws.amazon.com/console/systems-manager/session-manager-plugin-not-found »

Résoudre les problèmes de connectivité

Après avoir démarré une session du gestionnaire de session, il est possible qu’un écran vide avec un curseur clignotant s’affiche. Si vous rencontrez ce problème, il est possible que votre machine locale ne soit pas connectée à votre point de terminaison Gestionnaire de session.

Pour vérifier la connectivité au point de terminaison Gestionnaire de session d’AWS, exécutez la commande suivante en fonction de votre système d'exploitation.

Linux :

telnet ssmmessages.RegionID.amazonaws.com 443

Remarque : Remplacez Region-ID par votre région.

Windows :

Test-NetConnection ssmmessages.RegionID.amazonaws.com -port 443

Remarque : Remplacez Region-ID par votre région.

Si votre instance se trouve dans un sous-réseau privé, consultez la section Comment créer des points de terminaison Amazon Virtual Private Cloud (Amazon VPC) afin de pouvoir gérer des instances Amazon EC2 privées sans accès à Internet à l’aide de Systems Manager ?

Pour découvrir d'autres scénarios de résolution de problèmes, consultez la section Comment résoudre les problèmes liés au gestionnaire de session d'AWS Systems Manager ?

Informations connexes

Résolution de problèmes liés au gestionnaire de session

Comment utiliser un tunnel SSH via Systems Manager pour accéder à mes ressources VPC privées ?

Activer et contrôler les autorisations pour les connexions SSH via le gestionnaire de session

Activation et désactivation de la journalisation des sessions

Sujets: Management & Governance
Balises: AWS Systems Manager
Langue: Français

AWS OFFICIELA mis à jour il y a 8 mois

Aucun commentaire

Contenus pertinents

filezila connexion
rePost-User-9778669
demandé il y a un an
Problème de facturation au niveau des instances réservée
Kevin
demandé il y a 2 ans
Architecture Multi tenant en silo Model
Gregory
demandé il y a 6 mois
Problème avec mon instance Wordpress EC2 (crash)
rePost-User-5774152
demandé il y a 3 ans
Problème d'accès à une base de données logique dans une application laravel multi-tenant
rePost-User-0746455
demandé il y a un an
Comment puis-je utiliser le Gestionnaire de session pour contrôler l'accès à mes instances ?
AWS OFFICIELA mis à jour il y a un an
Comment résoudre les problèmes liés à la journalisation du Gestionnaire de session sur Amazon S3 ou CloudWatch ?
AWS OFFICIELA mis à jour il y a 9 mois
Comment puis-je résoudre les problèmes liés au Gestionnaire de session d’AWS Systems Manager ?
AWS OFFICIELA mis à jour il y a un an
Comment résoudre les problèmes de connexion SSH à mon instance Amazon EC2 Linux ?
AWS OFFICIELA mis à jour il y a 8 mois