Como soluciono problemas com o Gerenciador de Sessões do AWS Systems Manager?

Resolução

As etapas para solucionar problemas do Gerenciador de Sessões variam dependendo do motivo da falha da sessão.

Quando uma sessão falhar porque sua instância do Amazon Elastic Compute Cloud (Amazon EC2) não está disponível como instância gerenciada, solucione o problema de disponibilidade da sua instância gerenciada.

Quando uma sessão falhar e sua instância do EC2 estiver disponível como uma instância gerenciada, solucione problemas do Gerenciador de Sessões para resolver esses problemas:

• O Gerenciador de Sessões não tem permissão para iniciar uma sessão.
• O Gerenciador de Sessões não tem permissão para alterar as preferências da sessão.
• Um nó gerenciado não está disponível ou não está configurado para o Gerenciador de Sessões.
• Os plug-ins do Gerenciador de Sessões não são adicionados ao caminho da linha de comando (Windows).
• O sistema envia um erro TargetNotConnected.
• O Gerenciador de Sessões exibe uma tela em branco quando você inicia uma sessão.

Quando uma sessão falhar e exibir uma das seguintes mensagens de erro, aplique as diretrizes de solução de problemas apropriadas.

“Sua sessão foi encerrada pelos seguintes motivos: ----------ERROR------- Erro encontrado ao iniciar o handshake. Falha na busca pela chave de dados: Não foi possível recuperar a chave de dados. Erro ao descriptografar a chave de dados AccessDeniedException: O texto cifrado se refere a uma chave do AWS KMS que não existe, não existe nesta região ou que você não tem permissão para acessar. código de status: 400, ID da solicitação: xxxxxxxxxxxx”

Você recebe esse erro quando os usuários e as instâncias do EC2 em sua conta não têm as permissões de chave do AWS Key Management Service (AWS KMS) necessárias. Para resolver esse erro, ative a criptografia do AWS KMS para seus dados de sessão e siga estas etapas:

1.Conceda as permissões de chave KMS necessárias aos usuários que iniciam sessões e às instâncias às quais as sessões se conectam. Em seguida, configure o AWS Identity and Access Management (IAM) para fornecer aos usuários e instâncias permissões para usar a chave KMS com o Gerenciador de Sessões:

• Para adicionar permissões de chave KMS para usuários, consulte Quickstart default IAM policies for Session Manager.
• Para adicionar permissões de chave KMS para instâncias, consulte Verify or create an IAM role with Session Manager permissions.
• Para a configuração padrão de gerenciamento de host, adicione uma política a um perfil do IAM que forneça permissões de chave do KMS.

Observação: a partir da versão 3.2.582.0 do AWS Systems Manager Agent (SSM Agent), a configuração padrão de gerenciamento de host gerencia automaticamente as instâncias do EC2 sem um perfil de instância do IAM. As instâncias devem usar o Instance Metadata Service Versão 2 (IMDSv2).

“Sua sessão foi encerrada pelos seguintes motivos: Não foi possível iniciar a sessão porque não conseguimos validar a criptografia no bucket do Amazon S3. Erro: AccessDenied: Access Denied status code: 403”

Você recebe esse erro ao escolher Permitir somente buckets criptografados do S3 para Registro do S3 nas suas preferências do Gerenciador de Sessões. Siga um destes procedimentos para resolver o erro:

• Abra o console do Systems Manager e escolha Gerenciador de Sessões, Preferências, Editar. Em Registro do S3, desmarque Permitir somente buckets criptografados do S3 e salve suas alterações. Para obter mais informações, consulte Registrar dados da sessão em log usando o Amazon S3 (console).
• Para instâncias que você gerencia usando um perfil de instância do IAM, adicione uma política ao perfil da instância para fornecer permissões para carregar logs criptografados para o Amazon S3. Para obter instruções, consulte Crie uma função do IAM com permissões para o Session Manager, Amazon S3 e CloudWatch Logs (console) .
• Para instâncias que você gerencia usando a Configuração padrão de gerenciamento de host, adicione uma política ao perfil do IAM para fornecer permissões para carregar logs criptografados no Amazon S3. Para obter instruções, consulte Crie uma função do IAM com permissões para o Session Manager, Amazon S3 e CloudWatch Logs (console).

“Sua sessão foi encerrada pelos seguintes motivos: Não foi possível iniciar a sessão porque a criptografia não está configurada no grupo de logs do CloudWatch Logs selecionado. Criptografe o grupo de logs ou escolha uma opção para ativar o log sem criptografia.”

Você recebe esse erro ao escolher Permitir somente grupos de logs criptografados do CloudWatch para logs do CloudWatch em suas preferências do Gerenciador de Sessões. Siga um destes procedimentos para resolver o erro:

• Abra o console do Systems Manager e escolha Gerenciador de Sessões, Preferências, Editar. Em Logs do CloudWatch, desmarque Permitir somente grupos de logs criptografados do CloudWatch e salve suas alterações. Para obter mais informações, consulte Registro de dados da sessão usando Amazon CloudWatch Logs (console).
• Para instâncias que você gerencia usando um perfil de instância do IAM, adicione uma política ao perfil da instância para fornecer permissões para carregar logs criptografados para o Amazon CloudWatch. Para obter instruções, consulte Crie uma função do IAM com permissões para o Session Manager, Amazon S3 e CloudWatch Logs (console).
• Para instâncias que você gerencia usando a Configuração padrão de gerenciamento de host, adicione uma política ao perfil do IAM para fornecer permissões para carregar logs criptografados no CloudWatch. Para obter instruções, consulte Crie uma função do IAM com permissões para o Session Manager, Amazon S3 e CloudWatch Logs (console).

Informações relacionadas

Como associo ou substituo um perfil de instância em uma instância do Amazon EC2?

Logging session activity

Setting up Session Manager