Amazon S3 または CloudWatch へのセッションマネージャーロギングをトラブルシューティングするにはどうすればいいですか?

所要時間1分
0

AWS Systems Manager の機能である Session Manager を使用しているとき、Amazon Simple Storage Service (Amazon S3) または Amazon CloudWatch にログが表示されない理由を知りたいです。

簡単な説明

Session Manager が Amazon S3 または CloudWatch にログを送信しない最も一般的な理由は次のとおりです。

  • Session Manager のロギングの設定が間違っている
  • Amazon S3 バケットのアクセス権限と AWS Identity and Access Management (IAM) ポリシーが正しくない
  • Amazon Virtual Private Cloud (Amazon VPC) エンドポイントの到達性に関する問題

前提条件:

解決方法

Session Manager のロギングの設定が間違っている

セッションデータのロギングを有効にするには、Session Manager が Amazon S3 ロギングまたはCloudWatch ロギング用に設定されているかどうかを確認してください。

**注:**CloudWatch へのロギングを設定するときは、Session Manager の設定を確認し、CloudWatch オプションが選択されており、ロググループが定義されているかを確認してください。また、提供されたロググループ名が既存のロググループのものであるかを確認してください。

Amazon S3 バケットのアクセス権限と IAM ポリシーが正しくない

Systems Manager がインスタンスに対してアクションを実行するには、IAM ロールを通じてアクセス権を付与する必要があります。詳細については、「Session Manager 権限を持つ IAM ロールを確認または作成する」を参照してください。Amazon S3 で見つからないログをトラブルシューティングするには、次の手順を実行してください。

  • IAM ポリシーが正しい Amazon S3 バケット ARN に設定されているかどうかを確認してください。
  • Amazon S3 バケットポリシーにリソースへのアクセス権限があることを確認します。

Amazon VPC エンドポイントの到達性に関する問題

セッションマネージャーのログを表示するには、Amazon S3 または CloudWatch へのエンドポイントを作成する必要があります。

エンドツーエンドのネットワークを確認し、次のエンドポイントに対して HTTPS 権限が開かれているかを確認します。

  • HTTPS: //ec2.region-code.amazonaws.com
  • HTTPS: //ec2messages.region-code.amazonaws.com
  • HTTPS: //ssm.region-code.amazonaws.com
  • HTTPS: //ssmmessages.region-code.amazonaws.com
  • HTTPS: //s3.region-code.amazonaws.com
  • HTTPS: //monitoring.region-code.amazonaws.com

詳細については、「サービスコンシューマーとしてエンドポイントサービスに接続する」を参照してください。

その他のトラブルシューティング

CloudWatch ログのトラブルシューティングをさらに実行するには、アクションとタイムスタンプに基づいて AWS CloudTrail イベント履歴を確認してください。詳細については、CloudTrail の CloudWatch ログ情報を参照してください。

関連情報

AWS Systems Manager Session Manager の問題をトラブルシューティングする方法

AWS公式
AWS公式更新しました 9ヶ月前
コメントはありません