為什麼我無法使用 Session Manager 連線至 Amazon EC2 執行個體?

2 分的閱讀內容
0

我無法使用 AWS Systems Manager 的 Session Manager 功能,來存取 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。

解決方法

下列原因可能會阻止您連線至 Session Manager 以存取執行個體:

  • 工作階段偏好設定不正確
  • AWS Identity and Access Management (IAM) 許可問題
  • 執行個體上的資源使用率過高

如果您無法連線至 Session Manager,請遵循使用案例的疑難排解步驟。

檢查您是否符合 Systems Manager 先決條件

確認執行個體顯示為受管執行個體,然後檢查您是否符合所有 Session Manager 先決條件。如需詳細資訊,請參閱為什麼我的 EC2 執行個體未顯示為受管節點或在 Systems Manager 中顯示「連線中斷」狀態?

對 AWS KMS 組態問題進行疑難排解

檢閱 Session Manager 錯誤訊息以判斷問題的類型。然後,遵循下列疑難排解步驟來解決問題。

錯誤: 「啟動交握時遇到錯誤。交握逾時。請確保您擁有最新版本的工作階段管理員外掛程式」

上述錯誤表示已在 Session Manager 偏好設定中啟用 AWS Key Management System (AWS KMS) 加密,且執行個體無法連線至 AWS KMS 端點。

執行下列命令以檢查與 AWS KMS 端點的連線:

**注意:**以您的 AWS 區域取代 RegionID

$ telnet kms.RegionID.amazonaws.com 443

如需連線至 AWS KMS 端點的詳細資訊和指示,請參閱透過 VPC 端點連線至 AWS KMS

錯誤: 「啟動交握時遇到錯誤。擷取資料金鑰失敗: 無法擷取資料金鑰,解密資料金鑰 AccessDeniedException 時發生錯誤」

確認執行個體設定檔或使用者,具有用來加密工作階段的 AWS KMS key 所需 kms:Decrypt 許可。如需詳細資訊,請參閱將 Session Manager 許可新增至現有 IAM 角色

錯誤: 「金鑰名稱無效:您的工作階段已終止,原因如下: NotFoundException: 金鑰 ID xxxx 無效」

驗證 AWS KMS 加密金鑰 ARN 是否有效。檢查可用的金鑰 ARN,以確認在 Session Manager 偏好設定中指定的 ARN 符合其中一個可用的 ARN。如需詳細資訊,請參閱尋找金鑰 ID 和金鑰 ARN

確保 RunAs 使用者名稱有效

錯誤: 「RunAs 使用者名稱無效」

- 或 -

錯誤: 「無法啟動 Shell:無法啟動 pty,因為 RunAs 使用者 xyz 不存在」

如果啟用 Linux 執行個體的執行身分支援指定的作業系統 (OS) 使用者名稱無效,則 Session Manager 會失敗並顯示這些錯誤。

若要解決此問題,請提供有效的 OS 使用者名稱 (例如 ubuntu、ec2-user 或 centos)。您可以使用下列方式指定 OS:

  • 設定 Session Manager 偏好設定。
  • 使用標籤索引鍵 SSMSessionRunAs 和值 os-user-account-name,標記啟動工作階段的 IAM 使用者或角色。
  • 清除啟用 Linux 執行個體的執行身分支援

如需詳細資訊,請參閱為 Linux 和 macOS 受管節點開啟執行身分支援

對啟動工作階段後顯示的空白畫面進行疑難排解

如果在啟動 Session Manager 工作階段時畫面為空白,請參閱啟動工作階段後顯示空白畫面

參閱其他疑難排解步驟

如需詳細資訊和其他疑難排解案例,請參閱如何對 AWS Systems Manager Session Manager 的問題進行疑難排解?

相關資訊

對 Session Manager 進行疑難排解

如何透過 AWS Systems Manager 使用 SSH 通道來存取私有 VPC 資源?

透過 Session Manager 允許和控制 SSH 連線的許可

記錄工作階段活動

AWS 官方
AWS 官方已更新 9 個月前