AWS Systems Manager の機能である Session Manager を使用しているとき、Amazon Simple Storage Service (Amazon S3) または Amazon CloudWatch にログが表示されない理由を知りたいです。
簡単な説明
Session Manager が Amazon S3 または CloudWatch にログを送信しない最も一般的な理由は次のとおりです。
- Session Manager のロギングの設定が間違っている
- Amazon S3 バケットのアクセス権限と AWS Identity and Access Management (IAM) ポリシーが正しくない
- Amazon Virtual Private Cloud (Amazon VPC) エンドポイントの到達性に関する問題
前提条件:
解決方法
Session Manager のロギングの設定が間違っている
セッションデータのロギングを有効にするには、Session Manager が Amazon S3 ロギングまたはCloudWatch ロギング用に設定されているかどうかを確認してください。
**注:**CloudWatch へのロギングを設定するときは、Session Manager の設定を確認し、CloudWatch オプションが選択されており、ロググループが定義されているかを確認してください。また、提供されたロググループ名が既存のロググループのものであるかを確認してください。
Amazon S3 バケットのアクセス権限と IAM ポリシーが正しくない
Systems Manager がインスタンスに対してアクションを実行するには、IAM ロールを通じてアクセス権を付与する必要があります。詳細については、「Session Manager 権限を持つ IAM ロールを確認または作成する」を参照してください。Amazon S3 で見つからないログをトラブルシューティングするには、次の手順を実行してください。
- IAM ポリシーが正しい Amazon S3 バケット ARN に設定されているかどうかを確認してください。
- Amazon S3 バケットポリシーにリソースへのアクセス権限があることを確認します。
Amazon VPC エンドポイントの到達性に関する問題
セッションマネージャーのログを表示するには、Amazon S3 または CloudWatch へのエンドポイントを作成する必要があります。
エンドツーエンドのネットワークを確認し、次のエンドポイントに対して HTTPS 権限が開かれているかを確認します。
- HTTPS: //ec2.region-code.amazonaws.com
- HTTPS: //ec2messages.region-code.amazonaws.com
- HTTPS: //ssm.region-code.amazonaws.com
- HTTPS: //ssmmessages.region-code.amazonaws.com
- HTTPS: //s3.region-code.amazonaws.com
- HTTPS: //monitoring.region-code.amazonaws.com
詳細については、「サービスコンシューマーとしてエンドポイントサービスに接続する」を参照してください。
その他のトラブルシューティング
CloudWatch ログのトラブルシューティングをさらに実行するには、アクションとタイムスタンプに基づいて AWS CloudTrail イベント履歴を確認してください。詳細については、CloudTrail の CloudWatch ログ情報を参照してください。
関連情報
AWS Systems Manager Session Manager の問題をトラブルシューティングする方法