Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!
Come posso risolvere i problemi di registrazione di Gestione sessione su Amazon S3 o CloudWatch?
Desidero sapere perché Gestione sessione di AWS Systems Manager non invia log ad Amazon Simple Storage Service (Amazon S3) o ad Amazon CloudWatch.
Breve descrizione
Di seguito sono riportati i motivi per cui Gestione sessione non invia log ad Amazon S3 o CloudWatch:
- Registrazione di Gestione sessione configurata in modo errato
- Autorizzazioni del bucket S3 e policy AWS Identity and Access Management (AWS IAM) errate
- Problemi di raggiungibilità degli endpoint Amazon Virtual Private Cloud (Amazon VPC)
- Ruolo IAM senza le autorizzazioni necessarie per la registrazione di CloudWatch
Prerequisiti:
- I prerequisiti di Gestione sessione sono rispettati.
- Il profilo dell'istanza IAM dispone delle autorizzazioni necessarie per Gestione sessione.
- (Facoltativo) Il plug-in Gestione sessione è stato installato.
Risoluzione
Nota: se ricevi errori quando esegui i comandi dell'Interfaccia della linea di comando AWS (AWS CLI), consulta Risoluzione degli errori relativi ad AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.
Verifica la configurazione della registrazione di Gestione sessione
Per attivare la registrazione dei dati delle sessioni, verifica di aver configurato Gestione sessione per Amazon S3 o CloudWatch Logs.
Quando configuri CloudWatch Logs, utilizza le seguenti best practice:
- Esamina le preferenze di Gestione sessione per verificare di aver attivato CloudWatch Logs.
- Verifica di aver specificato un nome di gruppo di log valido.
- Assicurati che il gruppo di log specificato esista in CloudWatch.
Controlla le autorizzazioni dei bucket Amazon S3 e la policy IAM
Affinché Gestione sessione carichi log su Amazon S3, il ruolo IAM associato all'istanza deve disporre delle autorizzazioni necessarie.
Per risolvere i problemi relativi a log mancanti in Amazon S3, completa i seguenti passaggi:
- Verifica che il ruolo del profilo dell'istanza Amazon Elastic Compute Cloud (Amazon EC2) abbia le autorizzazioni IAM corrette per S3 con l'ARN del bucket S3.
- Verifica che la policy del bucket S3 consenta il ruolo del profilo dell'istanza come Principale con le azioni S3 richieste sul bucket S3.
Verifica la raggiungibilità degli endpoint Amazon VPC
Se listanza Amazon EC2 non ha accesso a Internet, devi creare endpoint Amazon VPC per consentire a Gestione sessione di accedere ad Amazon S3 o a CloudWatch.
Controlla la rete end-to-end e verifica che il traffico HTTPS sia aperto per i seguenti endpoint:
- HTTPS://ec2.region-code.amazonaws.com
- HTTPS://ec2messages.region-code.amazonaws.com
- HTTPS://ssm.region-code.amazonaws.com
- HTTPS://ssmmessages.region-code.amazonaws.com
- HTTPS://s3.region-code.amazonaws.com
- HTTPS://monitoring.region-code.amazonaws.com
Per creare un endpoint, consulta Connessione a un servizio endpoint in qualità di utente del servizio.
Configura una policy IAM per la registrazione di CloudWatch
Se nel gruppo di log di CloudWatch non sono presenti log delle sessioni o dei flussi, il ruolo del profilo dell'istanza non ha le autorizzazioni IAM corrette.
Per creare flussi di log e inserire eventi di log in CloudWatch, è necessario che Gestione sessione abbia le seguenti autorizzazioni nella policy IAM:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:REGION:ACCOUNT-ID:log-group:LOG-GROUP-NAME:*" ] }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": "logs:DescribeLogGroups", "Resource": "*" } ] }
Nota:
- Nella policy precedente, sostituisci REGION, ACCOUNT-ID, e LOG-GROUP-NAME con la tua Regione AWS, l'ID del tuo account AWS e il nome del tuo gruppo di log.
- Se hai crittografato il gruppo di log di CloudWatch con una chiave gestita dal cliente del Servizio AWS di gestione delle chiavi (AWS KMS), concedi al ruolo del profilo dell'istanza l'autorizzazione a utilizzarla. La policy della chiave AWS KMS deve consentire al ruolo di accedere alla chiave.
"Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/ssm/my-log-group:*"
Altre indicazioni sulla risoluzione dei problemi
Per risolvere i problemi di CloudWatch Logs, visualizza la Cronologia degli eventi di AWS CloudTrail in base alle azioni e ai timestamp. Per ulteriori informazioni, consulta Registrazione delle chiamate API e delle operazioni della console CloudWatch Logs in AWS CloudTrail.
Informazioni correlate
Come posso risolvere i problemi con Gestione sessione di AWS Systems Manager?
