為什麼我無法使用 Session Manager 連線至 Amazon EC2 執行個體?
我無法使用 AWS Systems Manager 的 Session Manager 功能,來存取 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。
解決方法
下列原因可能會阻止您連線至 Session Manager 以存取執行個體:
- 工作階段偏好設定不正確
- AWS Identity and Access Management (IAM) 許可問題
- 執行個體上的資源使用率過高
如果您無法連線至 Session Manager,請遵循使用案例的疑難排解步驟。
檢查您是否符合 Systems Manager 先決條件
確認執行個體顯示為受管執行個體,然後檢查您是否符合所有 Session Manager 先決條件。如需詳細資訊,請參閱為什麼我的 EC2 執行個體未顯示為受管節點或在 Systems Manager 中顯示「連線中斷」狀態?
對 AWS KMS 組態問題進行疑難排解
檢閱 Session Manager 錯誤訊息以判斷問題的類型。然後,遵循下列疑難排解步驟來解決問題。
錯誤: 「啟動交握時遇到錯誤。交握逾時。請確保您擁有最新版本的工作階段管理員外掛程式」
上述錯誤表示已在 Session Manager 偏好設定中啟用 AWS Key Management System (AWS KMS) 加密,且執行個體無法連線至 AWS KMS 端點。
執行下列命令以檢查與 AWS KMS 端點的連線:
**注意:**以您的 AWS 區域取代 RegionID。
$ telnet kms.RegionID.amazonaws.com 443
如需連線至 AWS KMS 端點的詳細資訊和指示,請參閱透過 VPC 端點連線至 AWS KMS。
錯誤: 「啟動交握時遇到錯誤。擷取資料金鑰失敗: 無法擷取資料金鑰,解密資料金鑰 AccessDeniedException 時發生錯誤」
確認執行個體設定檔或使用者,具有用來加密工作階段的 AWS KMS key 所需 kms:Decrypt 許可。如需詳細資訊,請參閱將 Session Manager 許可新增至現有 IAM 角色。
錯誤: 「金鑰名稱無效:您的工作階段已終止,原因如下: NotFoundException: 金鑰 ID xxxx 無效」
驗證 AWS KMS 加密金鑰 ARN 是否有效。檢查可用的金鑰 ARN,以確認在 Session Manager 偏好設定中指定的 ARN 符合其中一個可用的 ARN。如需詳細資訊,請參閱尋找金鑰 ID 和金鑰 ARN。
確保 RunAs 使用者名稱有效
錯誤: 「RunAs 使用者名稱無效」
- 或 -
錯誤: 「無法啟動 Shell:無法啟動 pty,因為 RunAs 使用者 xyz 不存在」
如果啟用 Linux 執行個體的執行身分支援指定的作業系統 (OS) 使用者名稱無效,則 Session Manager 會失敗並顯示這些錯誤。
若要解決此問題,請提供有效的 OS 使用者名稱 (例如 ubuntu、ec2-user 或 centos)。您可以使用下列方式指定 OS:
- 設定 Session Manager 偏好設定。
- 使用標籤索引鍵 SSMSessionRunAs 和值 os-user-account-name,標記啟動工作階段的 IAM 使用者或角色。
- 清除啟用 Linux 執行個體的執行身分支援。
如需詳細資訊,請參閱為 Linux 和 macOS 受管節點開啟執行身分支援。
對啟動工作階段後顯示的空白畫面進行疑難排解
如果在啟動 Session Manager 工作階段時畫面為空白,請參閱啟動工作階段後顯示空白畫面。
參閱其他疑難排解步驟
如需詳細資訊和其他疑難排解案例,請參閱如何對 AWS Systems Manager Session Manager 的問題進行疑難排解?
相關資訊
如何透過 AWS Systems Manager 使用 SSH 通道來存取私有 VPC 資源?
相關內容
- 已提問 5 個月前
- 已提問 6 個月前
- 已提問 10 個月前
- AWS 官方已更新 10 個月前
- AWS 官方已更新 10 個月前
- AWS 官方已更新 1 年前
- AWS 官方已更新 3 年前