Fehlerbehebung für Session Manager

Im Folgenden finden Sie Informationen zur Behandlung von Problemen mit AWS Systems Manager Session Manager.

Session Managerkann von der EC2 Amazon-Konsole aus keine Verbindung herstellen

Problem: Nachdem Sie eine neue Instance erstellt haben, können Sie auf der Registerkarte „Session Manager“ in der Amazon Elastic Compute Cloud (AmazonEC2) -Konsole keine Verbindung herstellen.

Lösung A: Erstellen Sie ein Instance-Profil: Falls Sie dies noch nicht getan haben (wie in den Informationen auf der Registerkarte „Session Manager“ in der EC2 Konsole beschrieben), erstellen Sie ein Instance-Profil AWS Identity and Access Management (IAM) mithilfe Quick Setup von. Quick Setupist eine Fähigkeit von. AWS Systems Manager

Session Managerbenötigt ein IAM Instanzprofil, um eine Verbindung zu Ihrer Instance herzustellen. Sie können ein Instance-Profil erstellen und es Ihrer Instance zuweisen, indem Sie eine Host-Verwaltungs-Konfiguration mit Quick Setup erstellen. Eine Host-Verwaltungs-Konfiguration erstellt ein Instance-Profil mit den erforderlichen Berechtigungen und weist es Ihrer Instance zu. Eine Host-Management-Konfiguration ermöglicht auch andere Systems Manager Manager-Funktionen und erstellt IAM Rollen für die Ausführung dieser Funktionen. Die Nutzung von Quick Setup oder der Funktionen, die durch die Host-Verwaltungs-Konfiguration aktiviert werden, ist kostenlos. Öffnen Sie Quick Setup und erstellen Sie eine Host-Verwaltungs-Konfiguration.

Wichtig

Nachdem Sie die Host-Management-Konfiguration erstellt haben, EC2 kann es einige Minuten dauern, bis Amazon die Änderung registriert und die Registerkarte „Session Manager“ aktualisiert hat. Wenn auf der Registerkarte nach zwei Minuten keine Verbindungsschaltfläche angezeigt wird, starten Sie Ihre Instance neu. Wenn Sie nach dem Neustart immer noch keine Verbindungsoption sehen, öffnen Sie Quick Setup und stellen Sie sicher, dass Sie nur über eine Host-Management-Konfiguration verfügen. Wenn es zwei gibt, löschen Sie die ältere Konfiguration und warten Sie einige Minuten.

Wenn Sie nach dem Erstellen einer Host-Verwaltungs-Konfiguration immer noch keine Verbindung herstellen können oder wenn Sie eine Fehlermeldung erhalten, einschließlich einer Fehlermeldung zu SSM Agent, nutzen Sie eine der folgenden Lösungen:

• Lösung B: Kein Fehler, aber es kann immer noch keine Verbindung hergestellt werden

• Lösung C: Fehler wegen fehlendem SSM Agent

Lösung B: Kein Fehler, aber es kann immer noch keine Verbindung hergestellt werden

Wenn Sie die Host-Verwaltungs-Konfiguration erstellt haben, mehrere Minuten gewartet haben, bevor Sie versucht haben, eine Verbindung herzustellen, und immer noch keine Verbindung herstellen können, müssen Sie die Host-Management-Konfiguratio möglicherweise manuell auf Ihre Instance anwenden. Gehen Sie wie folgt vor, um eine Quick Setup Host-Verwaltungs-Konfiguration zu aktualisieren und Änderungen auf eine Instance anzuwenden.

So aktualisieren Sie eine Host-Verwaltungs-Konfiguration mit Quick Setup

1. Öffnen Sie die AWS Systems Manager Konsole unter. https://console.aws.amazon.com/systems-manager/

2. Wählen Sie im Navigationsbereich Quick Setup aus.

3. Wählen Sie in der Konfigurationsliste die Host-Verwaltungs-Konfiguration aus, die Sie erstellt haben.

4. Wählen Sie Aktionen und wählen Sie dann Konfiguration bearbeiten.

5. Wählen Sie unten im Bereich Ziele unter Wählen Sie aus, wie Sie Instances als Targeting verwenden möchten die Option Manuell aus.

6. Wählen Sie im Abschnitt Instances die Instance aus, die Sie erstellt haben.

7. Wählen Sie Aktualisieren.

Warten Sie einige MinutenEC2, bis die Registerkarte Session Manager aktualisiert ist. Wenn Sie immer noch keine Verbindung herstellen können oder eine Fehlermeldung angezeigt wird, überprüfen Sie die verbleibenden Lösungen für dieses Problem.

Lösung C: Fehler wegen fehlendem SSM Agent

Wenn Sie mithilfe von keine Host-Management-Konfiguration erstellen konnten oder wenn Sie die Fehlermeldung erhalten habenQuick Setup, dass Sie SSM Agent nicht installiert wurden, müssen Sie die Installation möglicherweise manuell SSM Agent auf Ihrer Instance durchführen. SSM Agentist eine Amazon-Software, mit der Systems Manager mithilfe von eine Verbindung zu Ihrer Instance herstellen kannSession Manager. SSM Agentist standardmäßig auf den meisten Amazon Machine Images (AMIs) installiert. Wenn Ihre Instance aus einer nicht standardmäßigen AMI oder älteren Version erstellt wurdeAMI, müssen Sie den Agenten möglicherweise manuell installieren. Informationen zum Installationsverfahren von SSM Agent finden Sie im folgenden Thema, das Ihrem Instance-Betriebssystem entspricht.

• Windows Server

• macOS

• AlmaLinux

• Amazon Linux 1

• Amazon Linux 2 und AL2 023

• CentOS

• CentOS Stream

• Debian Server

• Oracle Linux

• Red Hat Enterprise Linux

• Rocky Linux

• SUSE Linux Enterprise Server

• Ubuntu Server

Bei Problemen mit SSM Agent siehe Fehlerbehebung für SSM Agent.

Keine Berechtigung zum Starten einer Sitzung

Problem: Sie versuchen, eine Sitzung zu starten. Das System teilt Ihnen jedoch mit, dass Sie nicht über die erforderlichen Berechtigungen verfügen.

• Lösung: Ein Systemadministrator hat Ihnen keine AWS Identity and Access Management (IAM) Richtlinienberechtigungen zum Starten von Session Manager Sitzungen erteilt. Weitere Informationen finden Sie unter Kontrollieren des Sitzungszugriffs von Benutzern auf Instances.

SSM Agentnicht online

Problem: Auf der Session ManagerRegisterkarte EC2 Amazon-Instance wird eine Meldung angezeigt, die besagt: SSM Agent ist nicht online. Der SSM Agent konnte keine Verbindung zu einem Systems Manager Manager-Endpunkt herstellen, um sich beim Dienst zu registrieren.

Lösung: SSM Agent ist Amazon-Software, die auf EC2 Amazon-Instances ausgeführt wird, sodass eine Verbindung zu ihnen hergestellt werden Session Manager kann. Wenn Sie diesen Fehler sehen, SSM Agent kann keine Verbindung mit dem Systems Manager Manager-Endpunkt hergestellt werden. Die Ursache des Problems könnten Firewall-Einschränkungen, Routing-Probleme oder mangelnde Internetverbindung sein. Untersuchen Sie die Probleme mit der Netzwerkverbindung, um dieses Problem zu beheben.

Keine Berechtigung zum Ändern von Sitzungspräferenzen

Problem: Sie versuchen, globale Sitzungspräferenzen für Ihre Organisation zu aktualisieren. Das System teilt Ihnen jedoch mit, dass Sie nicht über die erforderlichen Berechtigungen verfügen.

• Lösung: Ein Systemadministrator hat Ihnen keine IAM Richtlinienberechtigungen zum Festlegen von Session Manager Einstellungen erteilt. Weitere Informationen finden Sie unter Gewähren oder Verweigern von Benutzerberechtigungen zum Aktualisieren von Session Manager-Einstellungen.

Verwalteter Knoten ist nicht verfügbar oder nicht für Session Manager konfiguriert

Problem 1: Sie möchten auf der Seite Start a session (Sitzung starten) der Konsole eine Sitzung starten. Es befindet sich jedoch kein verwalteter Knoten in der Liste.

• Lösung A: Der verwaltete Knoten, zu dem Sie eine Verbindung herstellen möchten, wurde möglicherweise nicht konfiguriert AWS Systems Manager. Weitere Informationen finden Sie unter Einrichten AWS Systems Manager.

  Anmerkung

  Wenn AWS Systems Manager SSM Agent er bereits auf einem verwalteten Knoten läuft, wenn Sie das IAM Instanzprofil anhängen, müssen Sie den Agenten möglicherweise neu starten, bevor die Instanz auf der Seite Sitzungskonsole starten aufgeführt wird.

• Lösung B: Die Proxy-Konfiguration, die Sie auf den SSM Agent auf Ihrem verwalteten Knoten angewendet haben, ist möglicherweise falsch. Wenn die Proxy-Konfiguration falsch ist, kann der verwaltete Knoten die erforderlichen Service-Endpunkte nicht erreichen, oder der Knoten meldet sich möglicherweise als anderes Betriebssystem beim Systems Manager. Weitere Informationen erhalten Sie unter Konfiguration SSM Agent für die Verwendung eines Proxys auf Linux-Knoten und Konfigurieren des SSM Agent zur Nutzung eines Proxys für Windows Server-Instances.

Problem 2: Ein verwalteter Knoten, mit dem Sie eine Verbindung herstellen möchten, befindet sich in der Liste auf der Seite Start a session (Sitzung starten) der Konsole. Die Seite meldet jedoch, dass „die von Ihnen ausgewählte Instance nicht für die Verwendung mit Session Manager konfiguriert wurde.“

• Lösung A: Der verwaltete Knoten wurde für die Verwendung mit dem Systems Manager Manager-Dienst konfiguriert, aber das mit dem Knoten verknüpfte IAM Instanzprofil enthält möglicherweise keine Berechtigungen für die Session Manager Funktion. Weitere Informationen finden Sie unter Überprüfen oder Erstellen eines IAM Instanzprofils mit Session Manager Berechtigungen.

• Lösung B: Der verwaltete Knoten wird nicht auf einer Version von SSM Agent ausgeführt, die den Session Manager unterstützt. Aktualisieren Sie SSM Agent auf dem Knoten auf die Version 2.3.68.0 oder höher.

  Sie können SSM Agent manuell auf einem verwalteten Knoten aktualisieren, indem Sie die in Manuelles Installieren und Deinstallieren SSM Agent auf EC2 Instanzen für Windows Server, Manuelles Installieren und Deinstallieren SSM Agent auf EC2 Instanzen für Linux oder Manuelles Installieren und Deinstallieren SSM Agent auf EC2 Instanzen für macOS beschriebenen Schritte ausführen, abhängig vom Betriebssystem.

  Alternativ können Sie das Run Command-Dokument AWS-UpdateSSMAgent verwenden, um die Agent-Version auf einem oder mehreren verwalteten Knoten gleichzeitig zu aktualisieren. Weitere Informationen finden Sie unter Aktualisierung von SSM Agent mithilfe von Run Command.

  Tipp

  Damit Ihr Agent stets auf dem aktuellen Stand ist, sollten Sie die Aktualisierung des SSM Agent auf die jeweils aktuelle Version anhand eines automatisierten Zeitplans ausführen, den Sie mittels einer der beiden folgenden Methoden definieren:

  • Führen Sie AWS-UpdateSSMAgent als Teil einer State Manager-Zuordnung aus. Weitere Informationen finden Sie unter Exemplarische Vorgehensweise: Automatisches Update SSM Agent mit AWS CLI.

  • Führen Sie AWS-UpdateSSMAgent als Teil eines Wartungsfensters aus. Weitere Informationen zum Arbeiten mit Wartungsfenstern finden Sie unter Wartungsfenster mit der Konsole erstellen und verwalten und Tutorial: Erstellen und konfigurieren Sie ein Wartungsfenster mit dem AWS CLI.

• Lösung C: Der verwaltete Knoten kann die erforderlichen Service-Endpunkte nicht erreichen. Sie können die Sicherheitslage Ihrer verwalteten Knoten verbessern, indem Sie Schnittstellenendpunkte verwenden, die mit Strom versorgt werden, AWS PrivateLink um eine Verbindung zu Systems Manager Manager-Endpunkten herzustellen. Die Alternative zur Verwendung von Schnittstellenendpunkten ist das Erlauben von ausgehendem Internetzugriff auf Ihre verwalteten Knoten. Weitere Informationen finden Sie unter Verwenden PrivateLink zum Einrichten eines VPC Endpunkts für. Session Manager

• Lösung D: Der verwaltete Knoten verfügt über begrenzte verfügbare CPU oder Speicherressourcen. Auch wenn Ihr verwalteter Knoten ansonsten funktionsfähig ist, können Sie keine Sitzung einrichten, wenn der Knoten nicht über genügend verfügbare Ressourcen verfügt. Weitere Informationen finden Sie unter Problembehandlung bei unerreichbaren Instances.

Session Manager-Plug-In nicht gefunden

Um die Befehle AWS CLI zum Ausführen von Sitzungen verwenden zu können, muss das Session Manager Plugin auch auf Ihrem lokalen Computer installiert sein. Weitere Informationen finden Sie unter Installieren des Session Manager-Plugins für die AWS CLI.

Session Manager-Plugin wurde nicht automatisch zumBefehlszeilenpfad hinzugefügt (Windows)

Wenn Sie das Session Manager-Plug-In auf Windows installieren, sollte die ausführbare Datei session-manager-plugin der Umgebungsvariablen PATH Ihres Betriebssystems automatisch hinzugefügt werden. Wenn die Prüfung auf korrekte Installation des Session Manager-Plugins (aws ssm start-session --target instance-id) ergibt, dass der Befehl fehlgeschlagen ist, müssen Sie das Plug-In möglicherweise mittels des folgenden Verfahrens manuell einrichten.

So ändern Sie die Variable PATH (Windows)

1. Betätigen Sie die Windows-Taste und geben Sie environment variables ein.

2. Wählen Sie Edit environment variables for your account (Umgebungsvariablen für Ihr Konto bearbeiten).

3. Wählen Sie PATHund dann Bearbeiten.

4. Fügen Sie dem Feld Variablenwert Pfade hinzu, getrennt durch Semikolons, wie in diesem Beispiel gezeigt: C:\existing\path;C:\new\path

   C:\existing\path stellt den Wert dar, der sich bereits im Feld befindet. C:\new\path steht für den Pfad, den Sie hinzufügen möchten, wie in diesen Beispielen gezeigt.

   • 64-Bit-Computer: C:\Program Files\Amazon\SessionManagerPlugin\bin\

   • 32-Bit-Computer: C:\Program Files (x86)\Amazon\SessionManagerPlugin\bin\

5. Klicken Sie zweimal auf OK, um die neuen Einstellungen anzuwenden.

6. Schließen Sie alle etwa ausgeführten Eingabeaufforderungen und öffnen Sie erneut.

Session Manager-Plug-In reagiert nicht mehr

Während einer Port-Weiterleitungssitzung kann der Datenverkehr nicht mehr weitergeleitet werden, wenn auf Ihrem lokalen Computer Antivirus-Software installiert ist. In einigen Fällen stört Antivirus-Software das Session Manager-Plug-In, was zu Prozess-Deadlocks führt. Um dieses Problem zu beheben, erlauben Sie das Session Manager-Plug-In in der Antivirus-Software oder schließen Sie es aus. Weitere Informationen zum Standardinstallationspfad für das Session Manager-Plug-In finden Sie unter Installieren des Session Manager-Plugins für die AWS CLI.

TargetNotConnected

Problem: Sie versuchen, eine Sitzung zu starten, aber das System gibt die Fehlermeldung zurück: „Beim Aufrufen der StartSession Operation ist ein Fehler aufgetreten (TargetNotConnected): InstanceID ist nicht verbunden.“

• Lösung A: Dieser Fehler wird zurückgegeben, wenn der angegebene verwaltete Knoten für die Sitzung nicht vollständig für die Verwendung mit dem Session Manager konfiguriert wurde. Weitere Informationen finden Sie unter Einrichten von Session Manager.

• Lösung B: Dieser Fehler wird auch zurückgegeben, wenn Sie versuchen, eine Sitzung auf einem verwalteten Knoten zu starten, der sich in einem anderen AWS-Konto oder befindet AWS-Region.

Nach dem Starten einer Sitzung wird ein leerer Bildschirm angezeigt

Problem: Sie starten eine Sitzung und Session Manager zeigt einen leeren Bildschirm an.

• Lösung A: Dieses Problem kann auftreten, wenn das Root-Volume des verwalteten Knotens voll ist. Aufgrund von mangelndem Speicherplatz funktioniert SSM Agent auf dem Knoten nicht mehr. Um dieses Problem zu lösen, verwenden Sie Amazon, CloudWatch um Metriken und Protokolle von den Betriebssystemen zu sammeln. Weitere Informationen finden Sie unter Erfassung von Metriken, Protokollen und Traces mit dem CloudWatch Agenten im CloudWatch Amazon-Benutzerhandbuch.

• Lösung B: Möglicherweise wird ein leerer Bildschirm angezeigt, wenn Sie über einen Link auf die Konsole zugegriffen haben, der ein nicht übereinstimmendes Endpunkt- und Regionspaar enthält. In der folgenden Konsole us-west-2 ist URL beispielsweise der angegebene Endpunkt, aber us-west-1 der angegebene AWS-Region.

  https://us-west-2.console.aws.amazon.com/systems-manager/session-manager/sessions?region=us-west-1

• Lösung C: Der verwaltete Knoten stellt über VPC Endpunkte eine Verbindung zu Systems Manager her, und Ihre Session Manager Einstellungen schreiben die Sitzungsausgabe in einen Amazon S3 S3-Bucket oder eine Amazon CloudWatch Logs-Protokollgruppe, aber ein s3 Gateway-Endpunkt oder logs Schnittstellenendpunkt ist in der VPC nicht vorhanden. Ein s3 Endpunkt im Format com.amazonaws.region.s3 ist erforderlich, wenn Ihre verwalteten Knoten über VPC Endpunkte eine Verbindung zu Systems Manager herstellen und Ihre Session Manager Einstellungen die Sitzungsausgabe in einen Amazon S3 S3-Bucket schreiben. Alternativ com.amazonaws.region.logs ist ein logs Endpunkt in diesem Format erforderlich, wenn Ihre verwalteten Knoten über VPC Endpunkte eine Verbindung zu Systems Manager herstellen und Ihre Session Manager Einstellungen die Sitzungsausgabe in eine CloudWatch Log-Protokollgruppe schreiben. Weitere Informationen finden Sie unter VPCEndpunkte für Systems Manager erstellen.

• Lösung D: Die Protokollgruppe oder der Amazon S3-Bucket, die/den Sie in Ihren Sitzungseinstellungen angegeben haben, wurde gelöscht. Aktualisieren Sie Ihre Sitzungseinstellungen mit einer gültigen Protokollgruppe oder einem gültigen S3-Bucket, um dieses Problem zu beheben.

• Lösung E: Die Protokollgruppe oder der Amazon S3-Bucket, die/den Sie in Ihren Sitzungseinstellungen angegeben haben, ist nicht verschlüsselt, aber Sie haben die cloudWatchEncryptionEnabled- oder s3EncryptionEnabled-Eingabe auf true eingestellt. Um dieses Problem zu beheben, aktualisieren Sie Ihre Sitzungseinstellungen mit einer Protokollgruppe oder einem Amazon S3-Bucket, die/der verschlüsselt ist, oder stellen Sie die cloudWatchEncryptionEnabled- oder s3EncryptionEnabled-Eingabe auf false ein. Dieses Szenario gilt nur für Kunden, die Sitzungseinstellungen mithilfe von Befehlszeilentools erstellen.

Verwalteter Knoten reagiert während langer Sitzungen nicht mehr

Problem: Ihr verwalteter Knoten reagiert nicht oder stürzt während einer langen Sitzung ab.

Lösung: Verringern Sie die SSM Agent-Protokollaufbewahrungsdauer für Session Manager.

So verringern Sie die SSM Agent-Protokollaufbewahrungsdauer für Sitzungen

1. Suchen Sie amazon-ssm-agent.json.template im /etc/amazon/ssm/-Verzeichnis für Linux oder C:\Program Files\Amazon\SSM für Windows.

2. Kopieren Sie den Inhalt von amazon-ssm-agent.json.template in eine neue Datei im selben Verzeichnis namens amazon-ssm-agent.json.

3. Verringern Sie den Standardwert des SessionLogsRetentionDurationHours-Werts in der SSM-Eigenschaft und speichern Sie die Datei.

4. Starten Sie die SSM Agent neu.

Beim Aufrufen des Vorgangs ist ein Fehler aufgetreten (InvalidDocument) StartSession

Problem: Sie erhalten den folgenden Fehler, wenn Sie eine Sitzung mit dem AWS CLI starten.

An error occurred (InvalidDocument) when calling the StartSession operation: Document type: 'Command' is not supported. Only type: 'Session' is supported for Session Manager.

Lösung: Das SSM Dokument, das Sie für den --document-name Parameter angegeben haben, ist kein Sitzungsdokument. Gehen Sie wie folgt vor, um eine Liste von Sitzungsdokumenten in der AWS Management Console anzuzeigen.

So rufen Sie eine Liste von Sitzungsdokumenten auf

1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

2. Wählen Sie im Navigationsbereich die Option Documents (Dokumente) aus.

3. Wählen Sie in der Liste Kategorien die Option Sitzungsdokumente aus.