AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.
Como soluciono problemas de registro em log do Gerenciador de Sessões no Amazon S3 ou no CloudWatch?
Quero saber por que o AWS Systems Manager Sessions Manager não está enviando logs para o Amazon Simple Storage Service (Amazon S3) ou para o Amazon CloudWatch.
Breve descrição
A seguir estão os motivos pelos quais o Session Manager não está enviando logs para o Amazon S3 ou o CloudWatch:
- Registro do Gerenciador de Sessões configurado incorretamente
- As permissões do bucket do Amazon S3 e a política do AWS Identity and Access Management (AWS IAM) estão incorretas
- Problemas de acessibilidade do endpoint da Amazon Virtual Private Cloud (Amazon VPC)
- O perfil do IAM não tem as permissões necessárias para o registro em log do CloudWatch
Pré-requisitos:
- Você completou os pré-requisitos do Gerenciador de Sessões.
- Seu perfil de instância do IAM tem as permissões necessárias para o Gerenciador de Sessões.
- (Opcional) Você instalou o plug-in do Gerenciador de Sessões.
Resolução
Observação: se você receber erros ao executar comandos da AWS CLI, consulte Solução de problemas da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.
Verificar a configuração de registro do Session Manager
Para ativar os dados da sessão de registro em log, confirme se você configurou o Gerenciador de Sessões do Amazon S3 ou do CloudWatch Logs.
Ao configurar o CloudWatch Logs, use as seguintes melhores práticas:
- Revise as preferências do Gerenciador de Sessões para verificar se você ativou o CloudWatch Logs.
- Confirme se você especificou um nome de grupo de logs válido.
- Certifique-se de que o grupo de logs especificado exista no CloudWatch.
Verifique as permissões de bucket do Amazon S3 e a política do IAM
Para que o Session Manager faça upload de logs para o Amazon S3, a função do perfil do IAM que você associou à instância deve ter as permissões necessárias.
Para solucionar problemas de logs ausentes no Amazon S3, conclua as seguintes etapas:
- Verifique se sua função de perfil de instância do Amazon Elastic Compute Cloud (Amazon EC2) tem as permissões corretas do S3 IAM com o ARN do bucket do S3.
- Verifique se a política de bucket do S3 permite que o perfil da instância funcione como Entidade principal com as ações necessárias do S3 no bucket do S3.
Verifique a acessibilidade do endpoint da Amazon VPC
Se sua instância do Amazon EC2 não tiver acesso à Internet, você deverá criar endpoints do Amazon VPC para registrar o Session Manager no Amazon S3 ou no CloudWatch.
Verifique sua rede completa e confirme se o tráfego HTTPS está aberto para os seguintes endpoints:
- HTTPS://ec2.region-code.amazonaws.com
- HTTPS://ec2messages.region-code.amazonaws.com
- HTTPS://ssm.region-code.amazonaws.com
- HTTPS://ssmmessages.region-code.amazonaws.com
- HTTPS://s3.region-code.amazonaws.com
- HTTPS://monitoring.region-code.amazonaws.com
Para criar um endpoint, consulte Conectar-se a um serviço de endpoint como consumidor do serviço.
Configurar uma política do IAM para o registro em log do CloudWatch
Se os registros de sessão ou stream estiverem ausentes no grupo de logs do CloudWatch, a função do perfil da instância não terá as permissões de IAM corretas.
Para criar fluxos de log e colocar eventos de log no CloudWatch, o Session Manager deve ter as seguintes permissões na política do IAM:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:REGION:ACCOUNT-ID:log-group:LOG-GROUP-NAME:*" ] }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": "logs:DescribeLogGroups", "Resource": "*" } ] }
Observação:
- na política anterior, substitua REGION, ACCOUNT-ID e LOG-GROUP-NAME pela sua região da AWS, ID da conta da AWS e nome do grupo de logs.
- Se você criptografou o grupo de logs do CloudWatch com uma chave gerenciada pelo cliente do AWS Key Management Service (AWS KMS), conceda permissão à função do perfil da instância para usá-la. A política de chaves do AWS KMS deve permitir que o perfil acesse a chave.
"Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/ssm/my-log-group:*"
Solução de problemas adicional
Para solucionar problemas do CloudWatch Logs, veja o histórico de eventos do AWS CloudTrail com base em ações e registros de data e hora. Para obter mais informações, consulte Registro de operações da API e do console do CloudWatch Logs no AWS CloudTrail.
Informações relacionadas
Como soluciono problemas com o Gerenciador de Sessões do AWS Systems Manager?
- Tópicos
- Management & Governance
- Idioma
- Português
