AWS Systems Manager Session Manager の問題をトラブルシューティングする方法

所要時間3分
0

AWS Systems Manager Session Manager を使用しようとすると、セッションが失敗します。

解決方法

Session Manager の問題をトラブルシューティングする手順は、セッション障害の理由によって異なります。

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスがマネージドインスタンスとして表示されないためにセッションが失敗した場合は、マネージドインスタンスが表示されない原因をトラブルシューティングします

セッションが失敗し、EC2 インスタンスがマネージドインスタンスとして表示されるようになったら、「Troubleshooting Session Manager」を参照して次の問題を解決します。

  • セッションを開始するアクセス許可が Session Manager にない。
  • セッション設定を変更するアクセス許可が Session Manager にない。
  • マネージドノードが表示されないか、Session Manager 用に設定されていない。
  • コマンドラインパス (Windows) に Session Manager プラグインが追加されていない。
  • システムから「TargetNotConnected」というエラーが送信される。
  • セッションを開始すると、Session Manager が空白の画面を表示する。

セッションが失敗し、次のいずれかのエラーメッセージが表示される場合は、当該のトラブルシューティングガイダンスを適用してください。

「Your session has been terminated for the following reasons: ----------ERROR------- Encountered error while initiating handshake.Fetching data key failed: Unable to retrieve data key, Error when decrypting data key AccessDeniedException: The ciphertext refers to a AWS KMS key that does not exist, does not exist in this region, or you are not allowed to access. status code: 400, request id: xxxxxxxxxxxx」

このエラーは、必要な AWS Key Management Service (AWS KMS) のキーへのアクセス許可がアカウント内のユーザーおよび EC2 インスタンスにない場合に表示されます。このエラーを解決するには、 「Turn on KMS key encryption of session data (console)」を参照してセッションデータに対して AWS KMS 暗号化を有効にし次の手順を実行します。

  1. セッションを開始するユーザーと、セッションが接続するインスタンスに、必要な KMS キーへのアクセス許可を付与します。次に、Session Manager で KMS キーを使用できるアクセス許可をユーザーとインスタンスに付与するように、AWS Identity and Access Management (AWS IAM) を設定します。

注: AWS Systems Manager Agent (SSM Agent) のバージョン 3.2.582.0 以降では、デフォルトのホスト管理設定は IAM インスタンスプロファイルがなくても EC2 インスタンスを自動的に管理します。インスタンスはインスタンスメタデータサービスのバージョン 2 (IMDSv2) を使用する必要があります。

「Your session has been terminated for the following reasons: Couldn't start the session because we are unable to validate encryption on Amazon S3 bucket.Error: AccessDenied: Access Denied status code: 403」

このエラーは、Session Manager の設定の [S3 logging] で、[Allow only encrypted S3 buckets] を選択している場合に表示されます。このエラーを解決するには、次のいずれかの手順を実行します。

「Your session has been terminated for the following reasons: We couldn't start the session because encryption is not set up on the selected CloudWatch Logs log group.Either encrypt the log group or choose an option to enable logging without encryption.」

このエラーは、Session Manager の設定で [CloudWatch のログ記録][Allow only encrypted CloudWatch log groups] を選択している場合に表示されます。このエラーを解決するには、次のいずれかの手順を実行します。

関連情報

Amazon EC2 インスタンス上のインスタンスプロファイルをアタッチまたは置き換えるにはどうすればよいですか?

Logging session activity

Setting up Session Manager

AWS公式
AWS公式更新しました 10ヶ月前
コメントはありません

関連するコンテンツ