Session Manager no se puede conectar desde la consola de Amazon EC2 Sin permiso para iniciar una sesión Sin permiso para cambiar preferencias de sesiones Nodo administrado no disponible o no configurado para Session Manager Complemento de Session Manager no encontrado Complemento de Session Manager no agregado de manera automática a la ruta de la línea de comandos (Windows)El complemento Session Manager no responde TargetNotConnected Aparece una pantalla en blanco después de iniciar una sesión El nodo administrado deja de responder durante las sesiones de larga ejecución Se ha producido un error (InvalidDocument) al llamar a la operación StartSession

Solución de problemas de Session Manager

Utilice la siguiente información como ayuda para solucionar problemas con AWS Systems Manager Session Manager.

Temas

Session Manager no se puede conectar desde la consola de Amazon EC2
Sin permiso para iniciar una sesión
Sin permiso para cambiar preferencias de sesiones
Nodo administrado no disponible o no configurado para Session Manager
Complemento de Session Manager no encontrado
Complemento de Session Manager no agregado de manera automática a la ruta de la línea de comandos (Windows)
El complemento Session Manager no responde
TargetNotConnected
Aparece una pantalla en blanco después de iniciar una sesión
El nodo administrado deja de responder durante las sesiones de larga ejecución
Se ha producido un error (InvalidDocument) al llamar a la operación StartSession

Session Manager no se puede conectar desde la consola de Amazon EC2

Problema: luego de crear una instancia nueva, en la pestaña Administrador de sesiones de la consola de Amazon Elastic Compute Cloud (Amazon EC2) no aparece la opción para conectarse.

Solución A: Cree un perfil de instancia: si aún no lo ha hecho (tal y como se indica en la información de la pestaña Administrador de sesiones de la consola EC2), cree un perfil de instancia AWS Identity and Access Management (IAM) mediante. Quick Setup Quick Setupes una capacidad de. AWS Systems Manager

Session Manager requiere un perfil de instancia de IAM para conectarse a la instancia. Puede crear un perfil de instancia y asignarlo a la instancia mediante la creación de una configuración de administración de host conQuick Setup. Una configuración de administración de host crea un perfil de instancia con los permisos necesarios y lo asigna a la instancia. Una configuración de administración de host también habilita otras capacidades de Systems Manager y crea roles de IAM para ejecutar esas capacidades. El uso de Quick Setup o de las capacidades habilitadas por la configuración de administración de host es gratuito. Abra Quick Setup y cree una configuración de administración de host.

importante

Luego de crear la configuración de administración de host, Amazon EC2 puede tardar varios minutos en registrar el cambio y actualizar la pestaña Administrador de sesiones. Si la pestaña no muestra el botón Conectar después de dos minutos, reinicia la instancia. Cuando se reinicie, si sigues sin ver la opción de conexión, abre la Configuración rápida y comprueba que solo tienes una configuración de administración de host. Si hay dos, elimine la configuración anterior y espere unos minutos.

Si sigue sin poder conectarse después de crear una configuración de administración de host o si se produce un error, incluido un error relacionado con SSM Agent, consulte una de las siguientes soluciones:

Solución B: no hay un error, pero aún no se puede conectar
Solución C: error por la falta del SSM Agent

Solución B: no hay un error, pero aún no se puede conectar

Si creó la configuración de administración de host, esperó varios minutos antes de intentar conectarse y sigue sin poder hacerlo, es posible que tenga que aplicar de manera manual la configuración de administración de host a la instancia. Utilice el siguiente procedimiento para actualizar la configuración de administración de host con Quick Setup y aplicar los cambios a una instancia.

Actualización de una configuración de administración de host mediante Quick Setup

Abra la AWS Systems Manager consola en https://console.aws.amazon.com/systems-manager/.
En el panel de navegación, elija Quick Setup.

-o bien-

Si la página de AWS Systems Manager inicio se abre primero, elija el icono de menú ( ) para abrir el panel de navegación y, a continuación, elija Quick Setupen el panel de navegación.
En la lista Configuraciones, elija la configuración Administración de host que creó.
Elija Accionesy, luego, seleccione Editar configuración.
En la sección Destinos, elija Manual.
En la sección Instancias, elija la instancia que creó.
Seleccione Actualizar.

Espere unos minutos a que EC2 actualice la pestaña Administrador de sesiones. Si sigue sin poder conectarse o si se produce un error, revise las demás soluciones para este problema.

Solución C: error por la falta del SSM Agent

Si no pudo crear una configuración de administración de host con Quick Setup o si se produjo un error que indicaba que SSM Agent no estaba instalado, es posible que deba instalar SSM Agent de manera manual en la instancia. SSM Agent es un software de Amazon que permite a Systems Manager conectarse a la instancia medianteSession Manager. SSM Agent está instalado de forma predeterminada en la mayoría de las imágenes de máquina de Amazon (AMI). Si la instancia se creó a partir de una AMI no estándar o una AMI anterior, es posible que deba instalar el agente de manera manual. Para conocer el procedimiento de instalación de SSM Agent, consulte el siguiente tema correspondiente al sistema operativo de la instancia.

Si se presentan problemas con SSM Agent, consulte Solución de problemas de SSM Agent.

Sin permiso para iniciar una sesión

Problema: intenta iniciar una sesión, pero el sistema le indica que no tiene los permisos necesarios.

Solución: un administrador del sistema no le ha concedido permisos de política AWS Identity and Access Management (IAM) para iniciar Session Manager sesiones. Para obtener información, consulte Control del acceso de las sesiones de usuario a las instancias.

Sin permiso para cambiar preferencias de sesiones

Problema: intenta actualizar las preferencias de sesión globales para su organización, pero el sistema le indica que no tiene los permisos necesarios para hacerlo.

Solución: un administrador de sistema no le ha concedido los permisos de política de IAM para configurar las preferencias de Session Manager. Para obtener más información, consulte Concesión o denegación de permisos de usuario para actualizar preferencias de Session Manager.

Nodo administrado no disponible o no configurado para Session Manager

Problema 1: desea iniciar una sesión en la página de la consola Start a session (Iniciar una sesión), pero un nodo administrado no está en la lista.

Solución A: es posible que el nodo gestionado al que desea conectarse no esté configurado. AWS Systems Manager Para obtener más información, consulte Configuración de AWS Systems Manager.

nota
Si ya AWS Systems Manager SSM Agent se está ejecutando en un nodo gestionado al adjuntar el perfil de instancia de IAM, es posible que tenga que reiniciar el agente antes de que la instancia aparezca en la página de la consola Iniciar una sesión.
Solución B: la configuración del proxy que aplicó a SSM Agent en el nodo administrado puede ser incorrecta. Si la configuración del proxy es incorrecta, el nodo administrado no podrá alcanzar los puntos de conexión de servicio necesarios o el nodo se podría notificar como un sistema operativo diferente a Systems Manager. Para obtener más información, consulte Configuración de SSM Agent para utilizar un proxy (Linux) y Configurar el SSM Agent para usar un proxy para las instancias de Windows Server.

Problema 2: un nodo administrado al que desea conectarse está en la lista de la página Start a session (Iniciar una sesión) de la consola, pero la página notifica que “The instance you selected isn't configured to use Session Manager” (La instancia que ha seleccionado no está configurada para utilizar Session Manager).

Solución A: el nodo administrado se ha configurado para usarse con el servicio de Systems Manager, pero el perfil de instancias de IAM adjunto al nodo podría no incluir los permisos para la capacidad Session Manager. Para obtener información, consulte Verificación o creación de un perfil de instancias de IAM con permisos de Session Manager.
Solución B: el nodo administrado no está ejecutando una versión de SSM Agent que admita Session Manager. Actualice SSM Agent en el nodo a la versión 2.3.68.0 o una posterior.

Actualice SSM Agent de forma manual en un nodo administrado siguiendo los pasos que se describen en Instalación y desinstalación manual SSM Agent en instancias EC2 para Windows Server, Instalación manual de SSM Agent en instancias de EC2 para Linux o Uso de SSM Agent en instancias de EC2 para macOS, en función del sistema operativo.

También puede usar el documento de Run Command AWS-UpdateSSMAgent para actualizar la versión del agente en una o varios nodos administrados a la vez. Para obtener más información, consulte Actualización de SSM Agent mediante Run Command.
sugerencia
Para mantener siempre actualizado el agente, le recomendamos actualizar el SSM Agent a la versión más reciente según un programa automatizado que defina utilizando cualquiera de los siguientes métodos:
- Ejecutar AWS-UpdateSSMAgent como parte de una asociación de State Manager. Para obtener más información, consulte Explicación: actualización automática del SSM Agent (CLI).
- Ejecute AWS-UpdateSSMAgent como parte de un periodo de mantenimiento. Para obtener información acerca de cómo trabajar con periodos de mantenimiento, consulte Trabajo con periodo de mantenimiento (consola) y Tutorial: crear y configurar un período de mantenimiento mediante la (AWS CLI).
Solución C: el nodo administrado no puede alcanzar los puntos de conexión de servicio requeridos. Puede mejorar la seguridad de los nodos gestionados mediante el uso de puntos finales de interfaz con tecnología AWS PrivateLink para conectarse a los puntos finales de Systems Manager. La alternativa a usar un punto de conexión de interfaz es permitir el acceso a Internet saliente en los nodos administrados. Para obtener más información, consulte Uso PrivateLink para configurar un punto final de VPC para. Session Manager
Solución D: el nodo administrado dispone de recursos de memoria o CPU limitados. Aunque el nodo administrado podría de otro modo ser funcional, si el nodo no tiene suficientes recursos disponibles, no podrá establecer una sesión. Para obtener más información, consulte Solución de problemas de una instancia inaccesible.

Complemento de Session Manager no encontrado

Para utilizar los AWS CLI comandos de sesión, el Session Manager complemento también debe estar instalado en la máquina local. Para obtener más información, consulte Instale el Session Manager complemento para AWS CLI.

Complemento de Session Manager no agregado de manera automática a la ruta de la línea de comandos (Windows)

Cuando instala el complemento de Session Manager en Windows, el archivo ejecutable session-manager-plugin debería agregarse de forma automática a la variable de entorno PATH del sistema operativo. Si el comando no funciona después de ejecutarlo para verificar si el complemento de Session Manager se ha instalado correctamente (aws ssm start-session --target instance-id), es posible que deba configurarlo de forma manual mediante el procedimiento que se indica a continuación.

Para modificar la variable PATH (Windows)

Pulse la tecla de Windows e ingrese environment variables.
Elija Edit environment variables for your account (Editar las variables de entorno de esta cuenta).
Elija PATH y después Editar.
Añada rutas al campo Variable value (Valor de variable), separadas por punto y coma, como se muestra en este ejemplo: C:\existing\path;C:\new\path

C:\existing\path representa el valor que ya está en el campo. C:\new\path representa la ruta que desea añadir, como se muestra en estos ejemplos.
- Máquinas de 64 bits: C:\Program Files\Amazon\SessionManagerPlugin\bin\
- Máquinas de 32 bits: C:\Program Files (x86)\Amazon\SessionManagerPlugin\bin\
Elija OK (Aceptar) dos veces para aplicar la nueva configuración.
Cierre los símbolos del sistema en ejecución y vuelva a abrirlos.

El complemento Session Manager no responde

Durante una sesión de remisión de puertos, el tráfico podría dejar de remitirse si tiene un software antivirus instalado en el equipo local. En algunos casos, el software antivirus interfiere con el complemento de Session Manager que causa interbloqueos en el proceso. Para resolver este problema, permita o excluya el complemento de Session Manager del software antivirus. Para obtener información sobre la ruta de instalación predeterminada para el complemento de Session Manager, consulte Instale el Session Manager complemento para AWS CLI.

TargetNotConnected

Problema: intenta iniciar una sesión, pero el sistema devuelve el mensaje de error: «Se ha producido un error (TargetNotConnected) al llamar a la StartSession operación: instanceID no está conectado».

Solución A: este error se devuelve cuando el nodo administrado de destino especificado para la sesión no está completamente configurado para su uso con Session Manager. Para obtener más información, consulte Configuración de Session Manager.
Solución B: este error también aparece si intenta iniciar una sesión en un nodo gestionado que se encuentra en otro Cuenta de AWS nodo o. Región de AWS

Aparece una pantalla en blanco después de iniciar una sesión

Problema: ha iniciado una sesión y Session Manager muestra una pantalla en blanco.

Solución A: este problema puede darse cuando el volumen raíz del nodo administrado está lleno. Debido a la falta de espacio en disco, el SSM Agent ya no funciona en el nodo. Para resolver este problema, utiliza Amazon CloudWatch para recopilar métricas y registros de los sistemas operativos. Para obtener información, consulte Monitoreo de métricas de memoria y disco para instancias de Linux de Amazon EC2 o Monitoreo de métricas de memoria y disco para instancias de Windows de Amazon EC2.
Solución B: puede aparecer una pantalla en blanco si accedió a la consola mediante un enlace que incluye un par de punto de enlace y región que no coinciden. Por ejemplo, en la siguiente dirección URL de la consola, us-west-2 es el punto de enlace especificado, pero us-west-1 es la Región de AWS especificada.
```
https://us-west-2.console.aws.amazon.com/systems-manager/session-manager/sessions?region=us-west-1
```
Solución C: el nodo gestionado se conecta a Systems Manager mediante puntos de enlace de la VPC y sus Session Manager preferencias escriben el resultado de la sesión en un bucket de Amazon S3 o en un grupo de CloudWatch registros de Amazon Logs, pero no existe un punto de enlace de s3 puerta de enlace o un punto de enlace de logs interfaz en la VPC. Se necesita un punto de conexión de s3 con el formato com.amazonaws.region.s3 si los nodos administrados se conectan a Systems Manager mediante puntos de conexión de la VPC y sus preferencias de Session Manager escriben la salida de la sesión en un bucket de Amazon S3. Como alternativa, si los nodos gestionados com.amazonaws.region.logsse conectan a Systems Manager mediante puntos de logs enlace de VPC y sus Session Manager preferencias escriben los resultados de la sesión en un grupo de CloudWatch registros, necesitará un dispositivo de punto final con este formato. Para obtener más información, consulte Creación de puntos de enlace de la VPC para Systems Manager.
Solución D: se ha eliminado el grupo de registros o el bucket de Amazon S3 que especificó en sus preferencias de sesión. Para resolver este problema, actualice sus preferencias de sesión con un grupo de registros o un bucket de S3 válidos.
Solución E: el grupo de registros o el bucket de Amazon S3 que especificó en sus preferencias de sesión no está cifrado, pero ha establecido el elemento de entrada cloudWatchEncryptionEnabled o s3EncryptionEnabled en true. Para resolver este problema, actualice sus preferencias de sesión con un grupo de registros o un bucket de Amazon S3 que estén cifrados o establezca el elemento de entrada cloudWatchEncryptionEnabled o s3EncryptionEnabled en false. Este escenario solo se aplica a los clientes que crean preferencias de sesión mediante las herramientas de línea de comandos.

El nodo administrado deja de responder durante las sesiones de larga ejecución

Problema: el nodo administrado deja de responder o se bloquea durante una sesión de larga ejecución.

Solución: reducir la duración de la retención de registros de SSM Agent para Session Manager.

Para reducir la duración de la retención de registros de SSM Agent de las sesiones

Busque amazon-ssm-agent.json.template en el directorio /etc/amazon/ssm/ para Linux o C:\Program Files\Amazon\SSM para Windows.
Copie el contenido de amazon-ssm-agent.json.template en un nuevo archivo dentro del mismo directorio denominado amazon-ssm-agent.json.
Disminuya el valor predeterminado de SessionLogsRetentionDurationHours en la propiedad de SSM y guarde el archivo.
Restablecer SSM Agent

Se ha producido un error (InvalidDocument) al llamar a la operación StartSession

Problema: Aparece el siguiente error al iniciar una sesión empleando la AWS CLI.


An error occurred (InvalidDocument) when calling the StartSession operation: Document type: 'Command' is not supported. Only type: 'Session' is supported for Session Manager.

Solución: El documento SSM que especificó para el parámetro --document-name no es un documento Session. Utilice el siguiente procedimiento para ver una lista de documentos Session en la AWS Management Console.

Para ver una lista de documentos Session

Abra la AWS Systems Manager consola en https://console.aws.amazon.com/systems-manager/.
En el panel de navegación, elija Documentos.
En la lista Categorías, seleccione Documentos Session.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Esquema del documento de Session

Run Command