Solución de problemas de Session Manager - AWS Systems Manager

Solución de problemas de Session Manager

Utilice la siguiente información como ayuda para solucionar problemas con AWS Systems Manager Session Manager.

Session Manager no se puede conectar desde la consola de Amazon EC2

Problema: luego de crear una instancia nueva, en la pestaña Administrador de sesiones de la consola de Amazon Elastic Compute Cloud (Amazon EC2) no aparece la opción para conectarse.

Solución A: creación de un perfil de instancia: si aún no lo ha hecho (tal y como se indica en la información de la pestaña Administrador de sesiones de la consola de EC2), cree un perfil de instancia de AWS Identity and Access Management (IAM) mediante Quick Setup. Quick Setup es una capacidad de AWS Systems Manager.

Session Manager requiere un perfil de instancia de IAM para conectarse a la instancia. Puede crear un perfil de instancia y asignarlo a la instancia mediante la creación de una configuración de administración de host conQuick Setup. Una configuración de administración de host crea un perfil de instancia con los permisos necesarios y lo asigna a la instancia. Una configuración de administración de host también habilita otras capacidades de Systems Manager y crea roles de IAM para ejecutar esas capacidades. El uso de Quick Setup o de las capacidades habilitadas por la configuración de administración de host es gratuito. Abra Quick Setup y cree una configuración de administración de host.

importante

Luego de crear la configuración de administración de host, Amazon EC2 puede tardar varios minutos en registrar el cambio y actualizar la pestaña Administrador de sesiones. Si la pestaña no muestra el botón Conectar después de dos o tres minutos, actualice el navegador. Si sigue sin ver la opción para conectarse, abra Configuración rápida y verifique que solo tenga una configuración de administración de host. Si hay dos, elimine la configuración anterior y espere unos minutos.

Si sigue sin poder conectarse después de crear una configuración de administración de host o si se produce un error, incluido un error relacionado con SSM Agent, consulte una de las siguientes soluciones:

Solución B: no hay un error, pero aún no se puede conectar

Si creó la configuración de administración de host, esperó varios minutos antes de intentar conectarse y sigue sin poder hacerlo, es posible que tenga que aplicar de manera manual la configuración de administración de host a la instancia. Utilice el siguiente procedimiento para actualizar la configuración de administración de host con Quick Setup y aplicar los cambios a una instancia.

Actualización de una configuración de administración de host mediante Quick Setup
  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Quick Setup.

    -o bien-

    Si la página de inicio de AWS Systems Manager se abre primero, elija el icono de menú ( 
    The menu icon
  ) para abrir el panel de navegación y, a continuación, elija Quick Setup.

  3. En la lista Configuraciones, elija la configuración Administración de host que creó.

  4. Elija Accionesy, luego, seleccione Editar configuración.

  5. En la sección Destinos, elija Manual.

  6. En la sección Instancias, elija la instancia que creó.

  7. Elija Actualizar.

Espere unos minutos a que EC2 actualice la pestaña Administrador de sesiones. Si sigue sin poder conectarse o si se produce un error, revise las demás soluciones para este problema.

Solución C: error por la falta del SSM Agent

Si no pudo crear una configuración de administración de host con Quick Setup o si se produjo un error que indicaba que SSM Agent no estaba instalado, es posible que deba instalar SSM Agent de manera manual en la instancia. SSM Agent es un software de Amazon que permite a Systems Manager conectarse a la instancia medianteSession Manager. SSM Agent está instalado de forma predeterminada en la mayoría de las imágenes de máquina de Amazon (AMI). Si la instancia se creó a partir de una AMI no estándar o una AMI anterior, es posible que deba instalar el agente de manera manual. Para conocer el procedimiento de instalación de SSM Agent, consulte el siguiente tema correspondiente al sistema operativo de la instancia.

Si se presentan problemas con SSM Agent, consulte Solución de problemas de SSM Agent.

Solución D: error de permiso

Si recibe un error que indica que no tiene permiso para ejecutar Quick Setup o para conectarse a una instancia mediante Session Manager, verifique si tiene permisos de administrador en su Cuenta de AWS. Si no lo sabe, comuníquese con el administrador del sistema de AWS de su organización y solicite el permiso.

Sin permiso para iniciar una sesión

Problema: intenta iniciar una sesión, pero el sistema le indica que no tiene los permisos necesarios.

Sin permiso para cambiar preferencias de sesiones

Problema: intenta actualizar las preferencias de sesión globales para su organización, pero el sistema le indica que no tiene los permisos necesarios para hacerlo.

Nodo administrado no disponible o no configurado para Session Manager

Problema 1: desea iniciar una sesión en la página de la consola Start a session (Iniciar una sesión), pero un nodo administrado no está en la lista.

  • Solución A: El nodo administrado al que desea conectarse podría no haberse configurado para AWS Systems Manager. Para obtener más información, consulte Configuración de AWS Systems Manager.

    nota

    Si AWS Systems Manager SSM Agent ya se está ejecutando en un nodo administrado cuando adjunte el perfil de instancias de IAM, es posible que tenga que reiniciar el agente antes de que la instancia aparezca en la página Start a session (Iniciar una sesión) de la consola.

  • Solución B: la configuración del proxy que aplicó a SSM Agent en el nodo administrado puede ser incorrecta. Si la configuración del proxy es incorrecta, el nodo administrado no podrá alcanzar los puntos de conexión de servicio necesarios o el nodo se podría notificar como un sistema operativo diferente a Systems Manager. Para obtener más información, consulte Configuración de SSM Agent para utilizar un proxy (Linux) y Configurar el SSM Agent para usar un proxy para las instancias de Windows Server.

Problema 2: un nodo administrado al que desea conectarse está en la lista de la página Start a session (Iniciar una sesión) de la consola, pero la página notifica que “The instance you selected isn't configured to use Session Manager” (La instancia que ha seleccionado no está configurada para utilizar Session Manager).

Complemento de Session Manager no encontrado

Para utilizar la AWS CLI para ejecutar comandos de sesión, el complemento de Session Manager también debe estar instalado en su equipo local. Para obtener información, consulte Instalación del complemento de Session Manager para la AWS CLI.

Complemento de Session Manager no agregado de manera automática a la ruta de la línea de comandos (Windows)

Cuando instala el complemento de Session Manager en Windows, el archivo ejecutable session-manager-plugin debería agregarse de forma automática a la variable de entorno PATH del sistema operativo. Si el comando no funciona después de ejecutarlo para verificar si el complemento de Session Manager se ha instalado correctamente (aws ssm start-session --target instance-id), es posible que deba configurarlo de forma manual mediante el procedimiento que se indica a continuación.

Para modificar la variable PATH (Windows)
  1. Pulse la tecla de Windows e ingrese environment variables.

  2. Elija Edit environment variables for your account (Editar las variables de entorno de esta cuenta).

  3. Elija PATH y después Editar.

  4. Añada rutas al campo Variable value (Valor de variable), separadas por punto y coma, como se muestra en este ejemplo: C:\existing\path;C:\new\path

    C:\existing\path representa el valor que ya está en el campo. C:\new\path representa la ruta que desea añadir, como se muestra en estos ejemplos.

    • Máquinas de 64 bits: C:\Program Files\Amazon\SessionManagerPlugin\bin\

    • Máquinas de 32 bits: C:\Program Files (x86)\Amazon\SessionManagerPlugin\bin\

  5. Elija OK (Aceptar) dos veces para aplicar la nueva configuración.

  6. Cierre los símbolos del sistema en ejecución y vuelva a abrirlos.

El complemento Session Manager no responde

Durante una sesión de remisión de puertos, el tráfico podría dejar de remitirse si tiene un software antivirus instalado en el equipo local. En algunos casos, el software antivirus interfiere con el complemento de Session Manager que causa interbloqueos en el proceso. Para resolver este problema, permita o excluya el complemento de Session Manager del software antivirus. Para obtener información sobre la ruta de instalación predeterminada para el complemento de Session Manager, consulte Instalación del complemento de Session Manager para la AWS CLI.

TargetNotConnected

Problema: intenta iniciar una sesión, pero el sistema devuelve el mensaje de error “An error occurred (TargetNotConnected) when calling the StartSession operation: InstanceID isn't connected” (Se produjo un error [DestinoNoConectado] al llamar a la operación StartSession: el ID de la instancia no está conectado).

  • Solución A: este error se devuelve cuando el nodo administrado de destino especificado para la sesión no está completamente configurado para su uso con Session Manager. Para obtener información, consulte Configuración de Session Manager.

  • Solución B: este error también se devuelve si intenta iniciar una sesión en un nodo administrado que se encuentra en otra Cuenta de AWS o Región de AWS.

Aparece una pantalla en blanco después de iniciar una sesión

Problema: ha iniciado una sesión y Session Manager muestra una pantalla en blanco.

  • Solución A: este problema puede darse cuando el volumen raíz del nodo administrado está lleno. Debido a la falta de espacio en disco, el SSM Agent ya no funciona en el nodo. Para resolver este problema, utilice Amazon CloudWatch para recopilar las métricas y los registros de los sistemas operativos. Para obtener información, consulte Monitoreo de métricas de memoria y disco para instancias de Linux de Amazon EC2 o Monitoreo de métricas de memoria y disco para instancias de Windows de Amazon EC2.

  • Solución B: puede aparecer una pantalla en blanco si accedió a la consola mediante un enlace que incluye un par de punto de enlace y región que no coinciden. Por ejemplo, en la siguiente dirección URL de la consola, us-west-2 es el punto de enlace especificado, pero us-west-1 es la Región de AWS especificada.

    https://us-west-2.console.aws.amazon.com/systems-manager/session-manager/sessions?region=us-west-1
  • Solución C: el nodo administrado se conecta a Systems Manager mediante los puntos de conexión de la VPC, y las preferencias de Session Manager registran la salida de la sesión en un bucket de Amazon S3 o en grupo de Registros de Amazon CloudWatch, pero no existe ningún punto de conexión de la puerta de enlace de s3 ni un punto de conexión de la interfaz de logs en la VPC. Se necesita un punto de conexión de s3 con el formato com.amazonaws.region.s3 si los nodos administrados se conectan a Systems Manager mediante puntos de conexión de la VPC y sus preferencias de Session Manager escriben la salida de la sesión en un bucket de Amazon S3. De manera alternativa, se requiere un punto de conexión de logs con el formato com.amazonaws.region.logs si los nodos administrados se conectan a Systems Manager mediante los puntos de conexión de la VPC, y sus preferencias de Session Manager registran la salida de la sesión en un grupo de Registros de CloudWatch. Para obtener más información, consulte Creación de puntos de enlace de la VPC para Systems Manager.

  • Solución D: se ha eliminado el grupo de registros o el bucket de Amazon S3 que especificó en sus preferencias de sesión. Para resolver este problema, actualice sus preferencias de sesión con un grupo de registros o un bucket de S3 válidos.

  • Solución E: el grupo de registros o el bucket de Amazon S3 que especificó en sus preferencias de sesión no está cifrado, pero ha establecido el elemento de entrada cloudWatchEncryptionEnabled o s3EncryptionEnabled en true. Para resolver este problema, actualice sus preferencias de sesión con un grupo de registros o un bucket de Amazon S3 que estén cifrados o establezca el elemento de entrada cloudWatchEncryptionEnabled o s3EncryptionEnabled en false. Este escenario solo se aplica a los clientes que crean preferencias de sesión mediante las herramientas de línea de comandos.

El nodo administrado deja de responder durante las sesiones de larga ejecución

Problema: el nodo administrado deja de responder o se bloquea durante una sesión de larga ejecución.

Solución: reducir la duración de la retención de registros de SSM Agent para Session Manager.

Para reducir la duración de la retención de registros de SSM Agent de las sesiones
  1. Busque amazon-ssm-agent.json.template en el directorio /etc/amazon/ssm/ para Linux o C:\Program Files\Amazon\SSM para Windows.

  2. Copie el contenido de amazon-ssm-agent.json.template en un nuevo archivo dentro del mismo directorio denominado amazon-ssm-agent.json.

  3. Disminuya el valor predeterminado de SessionLogsRetentionDurationHours en la propiedad de SSM y guarde el archivo.

  4. Restablecer SSM Agent

Se ha producido un error (InvalidDocument) al llamar a la operación StartSession

Problema: Aparece el siguiente error al iniciar una sesión empleando la AWS CLI.

An error occurred (InvalidDocument) when calling the StartSession operation: Document type: 'Command' is not supported. Only type: 'Session' is supported for Session Manager.

Solución: El documento SSM que especificó para el parámetro --document-name no es un documento Session. Utilice el siguiente procedimiento para ver una lista de documentos Session en la AWS Management Console.

Para ver una lista de documentos Session
  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Documents.

  3. En la lista Categorías, seleccione Documentos Session.