如何疑難排解 Amazon S3 或 CloudWatch 上的 Session Manager 記錄問題?

1 分的閱讀內容
0

我想知道在使用 Session Manager (AWS Systems Manager 的一種功能) 工作時,為什麼看不到 Amazon Simple Storage Service (Amazon S3) 或 Amazon CloudWatch 中的日誌。

簡短說明

以下是 Session Manager 無法將日誌傳送到 Amazon S3 或 CloudWatch 最常見的原因:

  • Session Manager 記錄設定錯誤
  • Amazon S3 儲存貯體權限、AWS 身分和 Access Management (IAM) 政策不正確
  • Amazon Virtual Private Cloud (Amazon VPC) 端點可達性問題

先決條件:

解決方案

Session Manager 記錄設定錯誤

若要啟用記錄工作階段資料,請確認您已針對 Amazon S3 記錄日誌CloudWatch 記錄日誌設定了 Session Manager。

**注意:**當您設定 CloudWatch 的記錄時,請檢閱 Session Manager 的偏好設定,以確認已選取 CloudWatch 選項並定義好日誌群組。此外,請確認所提供的日誌群組名稱是否適用於現有的日誌群組。

Amazon S3 儲存貯體權限和 IAM 政策不正確

若要讓 Systems Manager 在執行個體上執行動作,您必須透過 IAM 角色授予存取權。如需詳細資訊,請參閱使用 Session Manager 權限驗證或建立 IAM 角色。若要疑難排解 Amazon S3 中遺失的日誌,請完成以下步驟:

  • 檢查是否已針對正確的 Amazon S3 儲存貯體 ARN 設定了 IAM 政策。
  • 檢查 Amazon S3 儲存貯體政策是否有獲取資源的存取權限。

Amazon VPC 端點可達性問題

若要查看 Session Manager 日誌,您必須為 Amazon S3 或 CloudWatch 建立端點。

檢閱端對端網路,並檢查 HTTPS 權限是否已對下列端點開啟:

  • HTTPS://ec2.region-code.amazonaws.com
  • HTTPS://ec2messages.region-code.amazonaws.com
  • HTTPS://ssm.region-code.amazonaws.com
  • HTTPS://ssmmessages.region-code.amazonaws.com
  • HTTPS://s3.region-code.amazonaws.com
  • HTTPS://monitoring.region-code.amazonaws.com

如需詳細資訊,請參閱以服務使用者身分連線到端點服務

其他疑難排解

若要針對 CloudWatch 日誌執行其他疑難排解,請根據動作和時間戳記檢視 AWS CloudTrail 事件歷史記錄。如需詳細資訊,請參閱 CloudTrail 中的 CloudWatch 日誌資訊

相關資訊

如何解決 AWS Systems Manager Session Manager 的問題?

AWS 官方
AWS 官方已更新 10 個月前