AWS Systems Manager Session Managerの問題をトラブルシューティングするにはどうすればよいですか?

解決策

セッションマネージャーの問題をトラブルシューティングする手順は、セッション障害の理由によって異なります。

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスがマネージドインスタンスとして表示されないためにセッションが失敗した場合は、マネージドインスタンスが表示されない原因をトラブルシューティングします。

セッションが失敗し、EC2 インスタンスがマネージドインスタンスとして表示されるようになったら、「セッションマネージャーのトラブルシューティング」を参照して次の問題を解決します:

• セッションマネージャーには、セッションを開始する権限がありません。
• セッションマネージャーには、セッション設定を変更する権限がありません。
• マネージドノードが表示されないか、セッションマネージャー 用に設定されていません。
• コマンドラインパス (Windows) に セッションマネージャープラグインが追加されていません。
• システムから「TargetNotConnected」というエラーが送信されます。
• セッションを開始すると、セッションマネージャー が空白の画面を表示します。

セッションが失敗し、次のいずれかのエラーメッセージが表示される場合は、当該のトラブルシューティングガイダンスを適用してください。

「Your session has been terminated for the following reasons: ----------ERROR------- Encountered error while initiating handshake.Fetching data key failed: Unable to retrieve data key, Error when decrypting data key AccessDeniedException: The ciphertext refers to a AWS KMS key that does not exist, does not exist in this region, or you are not allowed to access. status code: 400, request id: xxxxxxxxxxxx」

このエラーは、必要な AWS Key Management Service (AWS KMS) のキーへのアクセス許可がアカウント内のユーザーおよび EC2 インスタンスにない場合に表示されます。このエラーを解決するには、セッション データの AWS KMS 暗号化を有効にして、次の手順に従います:

1. セッションを開始するユーザーと、セッションが接続するインスタンスに、必要な KMS キーへのアクセス許可を付与します。次に、セッションマネージャー で KMS キーを使用できるアクセス許可をユーザーとインスタンスに付与するように、AWS Identity and Access Management (AWS IAM) を設定します:

• ユーザーに KMS キーへのアクセス許可を付与する手順については、「セッションマネージャーのデフォルトIAMポリシーのクイックスタート」を参照してください。
• インスタンスに KMS キーへのアクセス許可を付与する手順については、「セッションマネージャーのインスタンス権限を確認または追加」を参照してください。
• デフォルトのホスト管理設定については、KMS キーへのアクセス許可を提供するポリシーを IAM ロールに追加します.。

注: AWS Systems Manager Agent (SSM Agent) のバージョン 3.2.582.0 以降では、デフォルトのホスト管理設定は IAM インスタンスプロファイルがなくても EC2 インスタンスを自動的に管理します。インスタンスはインスタンスメタデータサービスのバージョン 2 (IMDSv2) を使用する必要があります。

「Your session has been terminated for the following reasons: Couldn't start the session because we are unable to validate encryption on Amazon S3 bucket.Error: AccessDenied: Access Denied status code: 403」

セッションマネージャーの設定で S3 ログ記録に暗号化された S3 バケットのみを許可することを選択すると、このエラーが発生します。このエラーを解決するには、次のいずれかの手順を実行します:

• システムマネージャー コンソールを開き、[セッションマネージャー]、[設定]、[編集] の順に選択します。[S3 ログ記録] で、[暗号化された S3 バケットのみを許可すること] をクリアし、変更を保存します。詳細については、「Amazon Simple Storage Service（Amazon S3）を使用したセッションデータのログ（コンソール）」を参照してください。
• IAM インスタンスプロファイルを使用して管理するインスタンスの場合は、暗号化されたログを Amazon S3 にアップロードできるアクセス許可を付与するポリシーを、インスタンスプロファイルに追加します。手順については、「セッションマネージャー、Amazon S3、Amazon CloudWatch Logs（コンソール）用の権限を持つIAMロールの作成」を参照してください。
• デフォルトのホスト管理設定を使用して管理するインスタンスの場合は、暗号化されたログを Amazon S3 にアップロードできるアクセス許可を付与するポリシーを、IAM ロールに追加します。手順については、「セッションマネージャー、Amazon S3、CloudWatch Logs（コンソール）用の権限を持つIAMロールの作成」を参照してください。

「Your session has been terminated for the following reasons: We couldn't start the session because encryption is not set up on the selected CloudWatch Logs log group.Either encrypt the log group or choose an option to enable logging without encryption.」

このエラーは、セッションマネージャー の設定で [CloudWatch のログ記録] に [暗号化されたCloudWatchロググループのみを許可すること] を選択している場合に表示されます。このエラーを解決するには、次のいずれかの手順を実行します:

• システムマネージャー コンソールを開き、[セッションマネージャー]、[設定]、[編集] の順に選択します。[CloudWatch のログ記録] で、[暗号化されたCloudWatchロググループのみを許可すること] をオフにし、変更を保存します。詳細については、「Amazon CloudWatch Logsを使用したセッション データのログ記録 (コンソール)」を参照してください。
• IAM インスタンスプロファイルを使用して管理するインスタンスの場合は、暗号化されたログを Amazon CloudWatch にアップロードできるアクセス許可を付与するポリシーを、インスタンスプロファイルに追加します。手順については、「セッションマネージャー、Amazon S3、CloudWatch Logs（コンソール）用の権限を持つIAMロールの作成」を参照してください。
• デフォルトのホスト管理設定を使用して管理するインスタンスの場合は、IAM ロールにポリシーを追加して、暗号化されたログを Cloudwatch にアップロードする権限を提供します。手順については、「セッションマネージャー、Amazon S3、CloudWatch Logs（コンソール）用の権限を持つIAMロールの作成」を参照してください。

関連情報

Amazon EC2 インスタンス上のインスタンスプロファイルをアタッチまたは置き換えるにはどうすればよいですか?

セッションアクティビティのログ記録

セッションマネージャーのセットアップ