Come posso risolvere i problemi con Gestione sessione di AWS Systems Manager?

Risoluzione

I passaggi per risolvere i problemi relativi a Gestione sessione variano a seconda del motivo dell'errore della sessione.

Se una sessione ha esito negativo perché la tua istanza Amazon Elastic Compute Cloud (Amazon EC2) non è disponibile come istanza gestita, risolvi i problemi di disponibilità dell'istanza gestita.

Se una sessione ha esito negativo e l'istanza EC2 è disponibile come istanza gestita, risolvi i problemi relativi a Gestione sessione per risolvere questi problemi:

• Gestione sessione non dispone dell'autorizzazione per avviare una sessione.
• Gestione sessione non dispone dell'autorizzazione per modificare le preferenze di sessione.
• Un nodo gestito non è disponibile o non è configurato per Gestione sessione.
• I plug-in di Gestione sessione non vengono aggiunti al percorso della linea di comando (Windows).
• Il sistema invia un errore TargetNotConnected.
• Gestione sessione visualizza una schermata vuota all'avvio di una sessione.

Se una sessione ha esito negativo e viene visualizzato uno dei seguenti messaggi di errore, applica le linee guida appropriate per la risoluzione dei problemi.

"Your session has been terminated for the following reasons: ----------ERROR------- Encountered error while initiating handshake. Fetching data key failed: Unable to retrieve data key, Error when decrypting data key AccessDeniedException: The ciphertext refers to a AWS KMS key that does not exist, does not exist in this region, or you are not allowed to access. status code: 400, request id: xxxxxxxxxxxx"

Ricevi questo errore quando gli utenti e le istanze EC2 nel tuo account non dispongono delle autorizzazioni chiave del Servizio AWS di gestione delle chiavi (AWS KMS). Per risolvere questo errore, attiva la crittografia AWS KMS per i dati della sessione, quindi segui questi passaggi:

1.    Concedi le autorizzazioni chiave KMS richieste agli utenti che avviano le sessioni e alle istanze a cui le sessioni si connettono. Quindi, configura AWS Identity and Access Management (IAM) per fornire agli utenti e alle istanze le autorizzazioni per utilizzare la chiave KMS con Gestione sessione:

• Per aggiungere le autorizzazioni chiave KMS per gli utenti, consulta la pagina Quickstart default IAM policies for Session Manager.
• Per aggiungere le autorizzazioni chiave KMS per le istanze, consulta la pagina Verify or create an IAM role with Session Manager permissions.
• Per la Configurazione di gestione host predefinita, aggiungi una policy a un ruolo IAM che fornisca le autorizzazioni chiave KMS.

Nota: a partire dalla versione 3.2.582.0 di Agente AWS Systems Manager (Agente SSM), la Configurazione di gestione host predefinita gestisce automaticamente le istanze EC2 senza un profilo dell'istanza IAM. Le istanze devono utilizzare Servizio di metadati dell'istanza Versione 2 (IMDSv2).

"Your session has been terminated for the following reasons: Couldn't start the session because we are unable to validate encryption on Amazon S3 bucket. Error: AccessDenied: Access Denied status code: 403"

Viene visualizzato questo errore quando si sceglie Consenti solo bucket S3 crittografati per Registrazione S3 nelle preferenze di Gestione sessione. Segui una delle seguenti procedure per risolvere l'errore:

• Apri la console Systems Manager, quindi scegli Gestione sessione, Preferenze, Modifica. Nella sezione Registrazione S3, deseleziona Consenti solo bucket S3 crittografati, quindi salva le modifiche. Per ulteriori informazioni, consulta la pagina Logging session data using Amazon Simple Storage Service (Amazon S3) (console).
• Per le istanze gestite utilizzando un profilo dell'istanza IAM, aggiungi una policy al profilo dell'istanza per fornire le autorizzazioni per caricare i log crittografati su Amazon S3. Per istruzioni, consulta la pagina Creating an IAM role with permissions for Session Manager and Amazon S3 and Amazon CloudWatch Logs (console).
• Per le istanze gestite utilizzando la Configurazione di gestione host predefinita, aggiungi una policy al ruolo IAM per fornire le autorizzazioni per caricare i log crittografati su Amazon S3. Per istruzioni, consulta la pagina Creating an IAM role with permissions for Session Manager and Amazon S3 and CloudWatch Logs (console).

"Your session has been terminated for the following reasons: We couldn't start the session because encryption is not set up on the selected CloudWatch Logs log group. Either encrypt the log group or choose an option to enable logging without encryption."

Ricevi questo errore quando scegli Consenti solo i gruppi di log CloudWatch crittografati per la Registrazione CloudWatch nelle tue preferenze di Gestione sessione. Segui una delle seguenti procedure per risolvere l'errore:

• Apri la console Systems Manager, quindi scegli Gestione sessione, Preferenze, Modifica. In Registrazione CloudWatch, deseleziona Consenti solo i gruppi di log CloudWatch crittografati, quindi salva le modifiche. Per ulteriori informazioni, consulta la pagina Logging session data using Amazon CloudWatch Logs (console).
• Per le istanze gestite utilizzando un profilo dell'istanza IAM, aggiungi una policy al profilo dell'istanza per fornire le autorizzazioni per caricare i log crittografati su Amazon CloudWatch. Per istruzioni, consulta la pagina Creating an IAM role with permissions for Session Manager and Amazon S3 and CloudWatch Logs (console).
• Per le istanze gestite utilizzando la Configurazione di gestione host predefinita, aggiungi una policy al ruolo IAM per fornire le autorizzazioni per caricare i log crittografati su CloudWatch. Per istruzioni, consulta la pagina Creating an IAM role with permissions for Session Manager and Amazon S3 and CloudWatch Logs (console).

Informazioni correlate

Come faccio a collegare o sostituire un profilo di istanza su un'istanza Amazon EC2?

Logging session activity

Setting up Session Manager