如何解决 AWS Systems Manager 会话管理器的问题?

2 分钟阅读
0

当我尝试使用 AWS Systems Manager 会话管理器时,我的会话失败了。

解决方法

解决会话管理器问题的步骤因会话失败的原因而异。

当会话由于您的 Amazon Elastic Compute Cloud(Amazon EC2)实例不可用作托管实例而失败时,请对您的托管实例可用性进行故障排除

当会话失败,并且您的 EC2 实例可用作托管实例时,请对会话管理器进行故障排除以解决下列问题:

  • 会话管理器没有启动会话的权限。
  • 会话管理器没有更改会话首选项的权限。
  • 托管节点不可用或者未为会话管理器配置托管节点。
  • 会话管理器插件未添加到命令行路径(Windows)。
  • 系统发送 TargetNotConnected 错误。
  • 当您启动会话时,会话管理器会显示空白屏幕。

当会话失败并且显示以下错误消息之一时,请遵循相应的故障排除指南。

“由于以下原因,您的会话已终止:----------错误-------在启动握手时遇到错误。获取数据密钥失败: 无法检索数据密钥,解密数据密钥时出错 AccessDeniedException: 加密文字指的是不存在、此区域不存在或者您无权访问的 AWS KMS 密钥。状态代码: 400,请求 ID:xxxxxxxxxxxx”

当您账户中的用户和 EC2 实例不具有所需的 AWS Key Management Service(AWS KMS)密钥权限时,您会收到此错误。如需解决此错误,请为您的会话数据启用 AWS KMS 加密,然后执行下面的步骤:

1.    向启动会话的用户和会话所连接的实例授予必需的 KMS 密钥权限。然后,配置 AWS Identity and Access Management(IAM),为用户和实例提供通过会话管理器使用 KMS 密钥的权限:

**注意:**从 AWS Systems Manager Agent(SSM Agent)版本 3.2.582.0 开始,默认主机管理配置会自动管理没有 IAM 实例配置文件的 EC2 实例。该实例必须使用实例元数据服务版本 2(IMDSv2)。

“您的会话已终止,原因如下: 无法启动会话,因为我们无法验证 Amazon S3 桶的加密。错误: AccessDenied: 访问被拒绝 状态代码: 403”

当您在会话管理器首选项中对 S3 日志记录选择仅允许加密的 S3 桶时,会收到此错误。请按照以下过程之一解决错误:

“您的会话已终止,原因如下: 我们无法启动会话,因为未在选定的 CloudWatch Logs 日志组上设置加密。请加密该日志组,或者选择一个选项来启用不加密的日志记录。”

当您在会话管理器首选项中对 CloudWatch 日志记录选择仅允许加密的 CloudWatch 日志组时,会收到此错误。请按照以下过程之一解决错误:

相关信息

如何在 Amazon EC2 实例上附加或替换实例配置文件?

记录会话活动

设置会话管理器

AWS 官方
AWS 官方已更新 10 个月前