Comment puis-je résoudre les problèmes liés au Gestionnaire de session d’AWS Systems Manager ?
Ma session échoue lorsque j’essaie d’utiliser le Gestionnaire de session d’AWS Systems Manager.
Résolution
Les étapes de résolution des problèmes liés au gestionnaire de session diffèrent en fonction de la raison de l’échec de la session.
Lorsqu’une session échoue parce que votre instance Amazon Elastic Compute Cloud (Amazon EC2) n’est pas disponible en tant qu’instance gérée, résolvez les problèmes de disponibilité de votre instance gérée.
Lorsqu’une session échoue et que votre instance EC2 est disponible en tant qu’instance gérée, dépannez le gestionnaire de session pour résoudre les problèmes suivants :
- Le gestionnaire de session n’a pas été autorisé à démarrer une session.
- Le gestionnaire de session n’a pas été autorisé à modifier les préférences de la session.
- Un nœud géré n’est pas disponible ou n’est pas configuré pour le gestionnaire de session.
- Les plug-ins du gestionnaire de session ne sont pas ajoutés au chemin de la ligne de commande (Windows).
- Le système envoie une erreur TargetNotConnected.
- Le Gestionnaire de session affiche un écran vide lorsque vous démarrez une session.
Appliquez les instructions de dépannage appropriées lorsqu’une session échoue et affiche l’un des messages d’erreur suivants.
« Votre session a été interrompue pour les raisons suivantes : ----------ERREUR------- Une erreur s'est produite lors du lancement de l'établissement de la connexion. La récupération de la clé de données a échoué : Impossible de récupérer la clé de données. Erreur lors du déchiffrement de la clé de données AccessDeniedException : Le texte chiffré fait référence à une clé AWS KMS qui n'existe pas, qui n'existe pas dans cette région ou qui ne vous est pas autorisée à y accèder. code d'état : 400, numéro de demande : xxxxxxxxxxxx »
Vous recevez ce message d’erreur lorsque les utilisateurs et les instances EC2 de votre compte ne disposent pas des autorisations clés AWS Key Management Service (AWS KMS) requises. Afin de résoudre cette erreur, activez le chiffrement AWS KMS pour les données de votre session, puis procédez comme suit :
1. Accordez les autorisations clés KMS requises aux utilisateurs qui démarrent des sessions et aux instances auxquelles les sessions se connectent. Configurez ensuite AWS Identity and Access Management (IAM) pour fournir aux utilisateurs et aux instances les autorisations nécessaires pour utiliser la clé KMS avec le gestionnaire de session :
- Pour ajouter des autorisations clés KMS pour les utilisateurs, consultez les politiques IAM par défaut Quickstart pour le gestionnaire de session.
- Pour ajouter des autorisations de clés KMS pour les instances, consultez la section Vérifier ou créer un rôle IAM avec des autorisations du gestionnaire de session.
- Pour la configuration de gestion des hôtes par défaut, ajoutez une politique à un rôle IAM qui fournit des autorisations de clés KMS.
Remarque : à partir de la version 3.2.582.0 d’AWS Systems Manager Agent (SSM Agent), la configuration de gestion des hôtes par défaut gère automatiquement les instances EC2 sans profil d’instance IAM. Les instances doivent utiliser le service de métadonnées d’instance version 2 (IMDSv2).
« Votre session a été interrompue pour les raisons suivantes : impossible de démarrer la session, car nous ne sommes pas en mesure de valider le chiffrement sur le compartiment Amazon S3. Erreur : Accès refusé : code d’état d’accès refusé : 403 »
Cette erreur apparaît lorsque vous choisissez Autoriser uniquement les compartiments S3 chiffrés pour la connexion à S3 dans vos préférences du gestionnaire de session. Suivez l’une des procédures suivantes pour résoudre l’erreur :
- Ouvrez la console Systems Manager, puis choisissez Gestionnaire de session, Préférences, Modifier. Sous Connexion à S3, désactivez Autoriser uniquement les compartiments S3 chiffrés, puis enregistrez vos modifications. Pour plus d’informations, consultez la section Enregistrement des données de session à l’aide d’Amazon Simple Storage Service (Amazon S3) (console).
- Pour les instances que vous gérez à l’aide d’un profil d’instance IAM, ajoutez une politique au profil d’instance afin de fournir des autorisations pour charger des journaux chiffrés sur Amazon S3. Pour obtenir des instructions, consultez la section Création d’un rôle IAM avec des autorisations pour Gestionnaire de session, Amazon S3 et CloudWatch Logs (console).
- Pour les instances que vous gérez à l’aide de la configuration de gestion des hôtes par défaut, ajoutez une politique au rôle IAM afin d’autoriser le téléchargement de journaux chiffrés vers Amazon S3. Pour obtenir des instructions, consultez la section Création d’un rôle IAM avec des autorisations pour le Gestionnaire de session, Amazon S3 et CloudWatch Logs (console).
« Votre session a été interrompue pour les raisons suivantes : Nous n’avons pas pu démarrer la session, car le chiffrement n’est pas configuré sur le groupe de journaux CloudWatch Logs sélectionné. Vous pouvez soit chiffrer le groupe de journaux, soit choisir une option permettant d’activer la journalisation sans chiffrement. »
Cette erreur s’affiche lorsque vous choisissez Autoriser uniquement les groupes de journaux CloudWatch chiffrés pour la journalisation CloudWatch dans vos préférences de Gestionnaire de session. Suivez l’une des procédures suivantes pour résoudre l’erreur :
- Ouvrez la console Systems Manager, puis choisissez Gestionnaire de session, Préférences, Modifier. Sous Journalisation CloudWatch, désactivez Autoriser uniquement les groupes de journaux CloudWatch chiffrés, puis enregistrez vos modifications. Consultez la section Enregistrement des données de session à l’aide d’Amazon CloudWatch Logs (console) pour plus d’informations.
- Pour les instances que vous gérez à l’aide d’un profil d’instance IAM, ajoutez une politique au profil d’instance afin de fournir des autorisations pour charger des journaux chiffrés sur Amazon CloudWatch. Pour obtenir des instructions, consultez la section Création d’un rôle IAM avec des autorisations pour le Gestionnaire de session, Amazon S3 et CloudWatch Logs (console).
- Pour les instances que vous gérez à l’aide de la configuration de gestion des hôtes par défaut, ajoutez une politique au rôle IAM afin d’autoriser le téléchargement de journaux chiffrés vers CloudWatch. Pour obtenir des instructions, consultez la section Création d’un rôle IAM avec des autorisations pour le Gestionnaire de session, Amazon S3 et CloudWatch Logs (console).
Informations connexes
Comment puis-je joindre ou remplacer un profil d’instance sur une instance Amazon EC2 ?
Contenus pertinents
- demandé il y a 10 moislg...
- demandé il y a un anlg...
- demandé il y a un anlg...
- demandé il y a 5 moislg...
- demandé il y a 5 moislg...
- AWS OFFICIELA mis à jour il y a un an
- AWS OFFICIELA mis à jour il y a 10 mois
- AWS OFFICIELA mis à jour il y a 10 mois