Solución de problemas de Session Manager

Utilice la siguiente información como ayuda para solucionar problemas con AWS Systems Manager Session Manager.

Session Manager no se puede conectar desde la consola de Amazon EC2

Problema: luego de crear una instancia nueva, en la pestaña Administrador de sesiones de la consola de Amazon Elastic Compute Cloud (Amazon EC2) no aparece la opción para conectarse.

Solución A: creación de un perfil de instancia: si aún no lo ha hecho (tal y como se indica en la información de la pestaña Administrador de sesiones de la consola de EC2), cree un perfil de instancia de AWS Identity and Access Management (IAM) mediante Quick Setup. Quick Setup es una capacidad de AWS Systems Manager.

Session Manager requiere un perfil de instancia de IAM para conectarse a la instancia. Puede crear un perfil de instancia y asignarlo a la instancia mediante la creación de una configuración de administración de host conQuick Setup. Una configuración de administración de host crea un perfil de instancia con los permisos necesarios y lo asigna a la instancia. Una configuración de administración de host también habilita otras capacidades de Systems Manager y crea roles de IAM para ejecutar esas capacidades. El uso de Quick Setup o de las capacidades habilitadas por la configuración de administración de host es gratuito. Abra Quick Setup y cree una configuración de administración de host.

importante

Luego de crear la configuración de administración de host, Amazon EC2 puede tardar varios minutos en registrar el cambio y actualizar la pestaña Administrador de sesiones. Si la pestaña no muestra el botón Conectar después de dos o tres minutos, actualice su instancia. Si sigue sin ver la opción para conectarse, abra Configuración Rápida y verifique que solo tenga una configuración de administración de hosts. Si hay dos, elimine la configuración anterior y espere unos minutos.

Si sigue sin poder conectarse después de crear una configuración de administración de host o si se produce un error, incluido un error relacionado con SSM Agent, consulte una de las siguientes soluciones:

• Solución B: no hay un error, pero aún no se puede conectar

• Solución C: error por la falta del SSM Agent

Solución B: no hay un error, pero aún no se puede conectar

Si creó la configuración de administración de host, esperó varios minutos antes de intentar conectarse y sigue sin poder hacerlo, es posible que tenga que aplicar de manera manual la configuración de administración de host a la instancia. Utilice el siguiente procedimiento para actualizar la configuración de administración de host con Quick Setup y aplicar los cambios a una instancia.

Actualización de una configuración de administración de host mediante Quick Setup

1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

2. En el panel de navegación, elija Quick Setup.

3. En la lista Configuraciones, elija la configuración Administración de host que creó.

4. Elija Accionesy, luego, seleccione Editar configuración.

5. En la sección Destinos, elija Manual.

6. En la sección Instancias, elija la instancia que creó.

7. Elija Actualizar.

Espere unos minutos a que EC2 actualice la pestaña Administrador de sesiones. Si sigue sin poder conectarse o si se produce un error, revise las demás soluciones para este problema.

Solución C: error por la falta del SSM Agent

Si no pudo crear una configuración de administración de host con Quick Setup o si se produjo un error que indicaba que SSM Agent no estaba instalado, es posible que deba instalar SSM Agent de manera manual en la instancia. SSM Agent es un software de Amazon que permite a Systems Manager conectarse a la instancia medianteSession Manager. SSM Agent está instalado de forma predeterminada en la mayoría de las imágenes de máquina de Amazon (AMI). Si la instancia se creó a partir de una AMI no estándar o una AMI anterior, es posible que deba instalar el agente de manera manual. Para conocer el procedimiento de instalación de SSM Agent, consulte el siguiente tema correspondiente al sistema operativo de la instancia.

• Windows Server

• macOS

• AlmaLinux

• Amazon Linux 1

• Amazon Linux 2 y AL2023

• CentOS

• CentOS Stream

• Debian Server

• Oracle Linux

• Red Hat Enterprise Linux

• Rocky Linux

• SUSE Linux Enterprise Server

• Ubuntu Server

Si se presentan problemas con SSM Agent, consulte Solución de problemas de SSM Agent.

Sin permiso para iniciar una sesión

Problema: intenta iniciar una sesión, pero el sistema le indica que no tiene los permisos necesarios.

• Solución: un administrador de sistema no le ha concedido los permisos de política de AWS Identity and Access Management (IAM) para iniciar sesiones de Session Manager. Para obtener información, consulte Control del acceso de las sesiones de usuario a las instancias.

Sin permiso para cambiar preferencias de sesiones

Problema: intenta actualizar las preferencias de sesión globales para su organización, pero el sistema le indica que no tiene los permisos necesarios para hacerlo.

• Solución: un administrador de sistema no le ha concedido los permisos de política de IAM para configurar las preferencias de Session Manager. Para obtener más información, consulte Concesión o denegación de permisos de usuario para actualizar preferencias de Session Manager.

Nodo administrado no disponible o no configurado para Session Manager

Problema 1: desea iniciar una sesión en la página de la consola Start a session (Iniciar una sesión), pero un nodo administrado no está en la lista.

• Solución A: El nodo administrado al que desea conectarse podría no haberse configurado para AWS Systems Manager. Para obtener más información, consulte Configuración de AWS Systems Manager.

  nota

  Si AWS Systems Manager SSM Agent ya se está ejecutando en un nodo administrado cuando adjunte el perfil de instancias de IAM, es posible que tenga que reiniciar el agente antes de que la instancia aparezca en la página Start a session (Iniciar una sesión) de la consola.

• Solución B: la configuración del proxy que aplicó a SSM Agent en el nodo administrado puede ser incorrecta. Si la configuración del proxy es incorrecta, el nodo administrado no podrá alcanzar los puntos de conexión de servicio necesarios o el nodo se podría notificar como un sistema operativo diferente a Systems Manager. Para obtener más información, consulte Configuración de SSM Agent para utilizar un proxy en nodos de Linux y Configurar el SSM Agent para usar un proxy para las instancias de Windows Server.

Problema 2: un nodo administrado al que desea conectarse está en la lista de la página Start a session (Iniciar una sesión) de la consola, pero la página notifica que “The instance you selected isn't configured to use Session Manager” (La instancia que ha seleccionado no está configurada para utilizar Session Manager).

• Solución A: el nodo administrado se ha configurado para usarse con el servicio de Systems Manager, pero el perfil de instancias de IAM adjunto al nodo podría no incluir los permisos para la capacidad Session Manager. Para obtener información, consulte Verificación o creación de un perfil de instancias de IAM con permisos de Session Manager.

• Solución B: el nodo administrado no está ejecutando una versión de SSM Agent que admita Session Manager. Actualice SSM Agent en el nodo a la versión 2.3.68.0 o una posterior.

  Actualice SSM Agent de forma manual en un nodo administrado siguiendo los pasos que se describen en Instalación y desinstalación manual de SSM Agent en instancias de EC2 para Windows Server, Instalación y desinstalación manual de SSM Agent en instancias de EC2 para Linux o Instalación y desinstalación manual de SSM Agent en instancias de EC2 para macOS, en función del sistema operativo.

  También puede usar el documento de Run Command AWS-UpdateSSMAgent para actualizar la versión del agente en una o varios nodos administrados a la vez. Para obtener más información, consulte Actualización de SSM Agent mediante Run Command.

  sugerencia

  Para mantener siempre actualizado el agente, le recomendamos actualizar el SSM Agent a la versión más reciente según un programa automatizado que defina utilizando cualquiera de los siguientes métodos:

  • Ejecutar AWS-UpdateSSMAgent como parte de una asociación de State Manager. Para obtener más información, consulte Explicación: actualización automática del SSM Agent (CLI).

  • Ejecute AWS-UpdateSSMAgent como parte de un periodo de mantenimiento. Para obtener información acerca de cómo trabajar con periodos de mantenimiento, consulte Trabajo con periodo de mantenimiento (consola) y Tutorial: crear y configurar un período de mantenimiento mediante la (AWS CLI).

• Solución C: el nodo administrado no puede alcanzar los puntos de conexión de servicio requeridos. Puede mejorar la posición de seguridad de los nodos administrados mediante el uso de puntos de conexión de interfaz con tecnología AWS PrivateLink para conectarse a los puntos de conexión de Systems Manager. La alternativa a usar un punto de conexión de interfaz es permitir el acceso a Internet saliente en los nodos administrados. Para obtener más información, consulte Uso de PrivateLink para configurar un punto de enlace de la VPC para Session Manager.

• Solución D: el nodo administrado dispone de recursos de memoria o CPU limitados. Aunque el nodo administrado podría de otro modo ser funcional, si el nodo no tiene suficientes recursos disponibles, no podrá establecer una sesión. Para obtener más información, consulte Solución de problemas de una instancia inaccesible.

Complemento de Session Manager no encontrado

Para utilizar la AWS CLI para ejecutar comandos de sesión, el complemento de Session Manager también debe estar instalado en su equipo local. Para obtener más información, consulte Instalación del complemento de Session Manager para la AWS CLI.

Complemento de Session Manager no agregado de manera automática a la ruta de la línea de comandos (Windows)

Cuando instala el complemento de Session Manager en Windows, el archivo ejecutable session-manager-plugin debería agregarse de forma automática a la variable de entorno PATH del sistema operativo. Si el comando no funciona después de ejecutarlo para verificar si el complemento de Session Manager se ha instalado correctamente (aws ssm start-session --target instance-id), es posible que deba configurarlo de forma manual mediante el procedimiento que se indica a continuación.

Para modificar la variable PATH (Windows)

1. Pulse la tecla de Windows e ingrese environment variables.

2. Elija Edit environment variables for your account (Editar las variables de entorno de esta cuenta).

3. Elija PATH y después Editar.

4. Añada rutas al campo Variable value (Valor de variable), separadas por punto y coma, como se muestra en este ejemplo: C:\existing\path;C:\new\path

   C:\existing\path representa el valor que ya está en el campo. C:\new\path representa la ruta que desea añadir, como se muestra en estos ejemplos.

   • Máquinas de 64 bits: C:\Program Files\Amazon\SessionManagerPlugin\bin\

   • Máquinas de 32 bits: C:\Program Files (x86)\Amazon\SessionManagerPlugin\bin\

5. Elija OK (Aceptar) dos veces para aplicar la nueva configuración.

6. Cierre los símbolos del sistema en ejecución y vuelva a abrirlos.

El complemento Session Manager no responde

Durante una sesión de remisión de puertos, el tráfico podría dejar de remitirse si tiene un software antivirus instalado en el equipo local. En algunos casos, el software antivirus interfiere con el complemento de Session Manager que causa interbloqueos en el proceso. Para resolver este problema, permita o excluya el complemento de Session Manager del software antivirus. Para obtener información sobre la ruta de instalación predeterminada para el complemento de Session Manager, consulte Instalación del complemento de Session Manager para la AWS CLI.

TargetNotConnected

Problema: intenta iniciar una sesión, pero el sistema devuelve el mensaje de error “An error occurred (TargetNotConnected) when calling the StartSession operation: InstanceID isn't connected” (Se produjo un error [DestinoNoConectado] al llamar a la operación StartSession: el ID de la instancia no está conectado).

• Solución A: este error se devuelve cuando el nodo administrado de destino especificado para la sesión no está completamente configurado para su uso con Session Manager. Para obtener más información, consulte Configuración de Session Manager.

• Solución B: este error también se devuelve si intenta iniciar una sesión en un nodo administrado que se encuentra en otra Cuenta de AWS o Región de AWS.

Aparece una pantalla en blanco después de iniciar una sesión

Problema: ha iniciado una sesión y Session Manager muestra una pantalla en blanco.

• Solución A: este problema puede darse cuando el volumen raíz del nodo administrado está lleno. Debido a la falta de espacio en disco, el SSM Agent ya no funciona en el nodo. Para resolver este problema, utilice Amazon CloudWatch para recopilar las métricas y los registros de los sistemas operativos. Para obtener información, consulte Recopilación de métricas, registros y seguimientos con el agente de CloudWatch en la Guía del usuario de Amazon CloudWatch.

• Solución B: puede aparecer una pantalla en blanco si accedió a la consola mediante un enlace que incluye un par de punto de enlace y región que no coinciden. Por ejemplo, en la siguiente dirección URL de la consola, us-west-2 es el punto de enlace especificado, pero us-west-1 es la Región de AWS especificada.

  https://us-west-2.console.aws.amazon.com/systems-manager/session-manager/sessions?region=us-west-1

• Solución C: el nodo administrado se conecta a Systems Manager mediante los puntos de conexión de la VPC, y las preferencias de Session Manager registran la salida de la sesión en un bucket de Amazon S3 o en grupo de Registros de Amazon CloudWatch, pero no existe ningún punto de conexión de la puerta de enlace de s3 ni un punto de conexión de la interfaz de logs en la VPC. Se necesita un punto de conexión de s3 con el formato com.amazonaws.region.s3 si los nodos administrados se conectan a Systems Manager mediante puntos de conexión de la VPC y sus preferencias de Session Manager escriben la salida de la sesión en un bucket de Amazon S3. De manera alternativa, se requiere un punto de conexión de logs con el formato com.amazonaws.region.logs si los nodos administrados se conectan a Systems Manager mediante los puntos de conexión de la VPC, y sus preferencias de Session Manager registran la salida de la sesión en un grupo de Registros de CloudWatch. Para obtener más información, consulte Creación de puntos de enlace de la VPC para Systems Manager.

• Solución D: se ha eliminado el grupo de registros o el bucket de Amazon S3 que especificó en sus preferencias de sesión. Para resolver este problema, actualice sus preferencias de sesión con un grupo de registros o un bucket de S3 válidos.

• Solución E: el grupo de registros o el bucket de Amazon S3 que especificó en sus preferencias de sesión no está cifrado, pero ha establecido el elemento de entrada cloudWatchEncryptionEnabled o s3EncryptionEnabled en true. Para resolver este problema, actualice sus preferencias de sesión con un grupo de registros o un bucket de Amazon S3 que estén cifrados o establezca el elemento de entrada cloudWatchEncryptionEnabled o s3EncryptionEnabled en false. Este escenario solo se aplica a los clientes que crean preferencias de sesión mediante las herramientas de línea de comandos.

El nodo administrado deja de responder durante las sesiones de larga ejecución

Problema: el nodo administrado deja de responder o se bloquea durante una sesión de larga ejecución.

Solución: reducir la duración de la retención de registros de SSM Agent para Session Manager.

Para reducir la duración de la retención de registros de SSM Agent de las sesiones

1. Busque amazon-ssm-agent.json.template en el directorio /etc/amazon/ssm/ para Linux o C:\Program Files\Amazon\SSM para Windows.

2. Copie el contenido de amazon-ssm-agent.json.template en un nuevo archivo dentro del mismo directorio denominado amazon-ssm-agent.json.

3. Disminuya el valor predeterminado de SessionLogsRetentionDurationHours en la propiedad de SSM y guarde el archivo.

4. Restablecer SSM Agent

Se ha producido un error (InvalidDocument) al llamar a la operación StartSession

Problema: Aparece el siguiente error al iniciar una sesión empleando la AWS CLI.

An error occurred (InvalidDocument) when calling the StartSession operation: Document type: 'Command' is not supported. Only type: 'Session' is supported for Session Manager.

Solución: El documento SSM que especificó para el parámetro --document-name no es un documento Session. Utilice el siguiente procedimiento para ver una lista de documentos Session en la AWS Management Console.

Para ver una lista de documentos Session

1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

2. En el panel de navegación, elija Documentos.

3. En la lista Categorías, seleccione Documentos Session.