Risoluzione dei problemi relativi a Session Manager

Utilizza le informazioni seguenti per risolvere i problemi relativi a AWS Systems Manager Session Manager.

Session Manager non può connettersi dalla console Amazon EC2

Problema: dopo aver creato una nuova istanza, la scheda Session Manager nella console Amazon Elastic Compute Cloud (Amazon EC2) non ti offre la possibilità di connetterti.

Soluzione A: crea un profilo di istanza: se non l'hai già fatto (come indicato dalle informazioni nella scheda Session Manager nella console EC2), crea un profilo di istanza AWS Identity and Access Management (IAM) utilizzando. Quick Setup Quick Setupè una funzionalità di. AWS Systems Manager

Session Manager richiede un profilo dell'istanza IAM per connettersi all'istanza. Puoi creare un profilo dell'istanza e assegnarlo all'istanza creando una configurazione di gestione dell'host con Quick Setup. Una configurazione di gestione dell'host crea un profilo dell'istanza con le autorizzazioni richieste e lo assegna all'istanza. Una configurazione di gestione dell'host abilita anche altre funzionalità di Systems Manager e crea ruoli IAM per l'esecuzione di tali funzionalità. L'utilizzo di Quick Setup o delle funzionalità abilitate dalla configurazione di gestione dell'host è gratuito. Apri Quick Setup e crea una configurazione di gestione dell'host.

Importante

Dopo aver creato la configurazione di gestione dell'host, Amazon EC2 può impiegare alcuni minuti per registrare la modifica e aggiornare la scheda Session Manager. Se la scheda non mostra il pulsante Connect dopo due minuti, riavvia l'istanza. Dopo il riavvio, se ancora non vedi l'opzione per la connessione, apri Quick Setup e verifica di avere una sola configurazione di gestione dell'host. Se ne esistono due, elimina la configurazione precedente e attendi qualche minuto.

Se non riesci ancora a connetterti dopo aver creato una configurazione di gestione dell'host o se ricevi un errore, incluso un errore relativo a SSM Agent, consulta una delle seguenti soluzioni:

• Soluzione B: nessun errore, ma non riesci ancora a connetterti

• Soluzione C: errore relativo alla mancanza di SSM Agent

Soluzione B: nessun errore, ma non riesci ancora a connetterti

Se hai creato la configurazione di gestione dell'host, hai aspettato diversi minuti prima di provare a connetterti e non riesci ancora a connetterti, potrebbe essere necessario applicare manualmente la configurazione di gestione dell'host all'istanza. Utilizza la procedura seguente per aggiornare una configurazione di gestione dell'host di Quick Setup e applicare le modifiche a un'istanza.

Per aggiornare una configurazione di gestione dell'host utilizzando Quick Setup

1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

2. Nel riquadro di navigazione, scegli Quick Setup.

3. Nell'elenco Configurazioni, scegli la configurazione Gestione host che hai creato.

4. Scegli Operazioni, quindi Modifica configurazione.

5. Nella sezione Destinazioni, scegli Manuale.

6. Nella sezione Istanze, scegli l'istanza che hai creato.

7. Scegli Aggiorna.

Attendi qualche minuto che EC2 aggiorni la scheda Session Manager. Se ancora non riesci a connetterti o se ricevi un errore, esamina le soluzioni rimanenti per questo problema.

Soluzione C: errore relativo alla mancanza di SSM Agent

Se non sei riuscito a creare una configurazione di gestione dell'host utilizzando Quick Setup o se hai ricevuto un errore relativo alla mancata installazione di SSM Agent, potresti dover installare SSM Agent manualmente sull'istanza. SSM Agent è un software Amazon che consente a Systems Manager di connettersi all'istanza utilizzando Session Manager. SSM Agent è installato per impostazione predefinita sulla maggior parte delle Amazon Machine Image (AMI). Se l'istanza è stata creata da un'AMI non standard o da un'AMI precedente, potrebbe essere necessario installare manualmente l'agente. Per la procedura di installazione di SSM Agent, consulta il seguente argomento che corrisponde al sistema operativo dell'istanza.

• Windows Server

• macOS

• AlmaLinux

• Amazon Linux 1

• Amazon Linux 2 e AL2023

• CentOS

• CentOS Stream

• Debian Server

• Oracle Linux

• Red Hat Enterprise Linux

• Rocky Linux

• SUSE Linux Enterprise Server

• Ubuntu Server

Per problemi con SSM Agent, vedi Risoluzione dei problemi relativi a SSM Agent.

Nessuna autorizzazione ad avviare una sessione

Problema: tenti di avviare una sessione, ma il sistema indica che non disponi delle autorizzazioni necessarie.

• Soluzione: un amministratore di sistema non ti ha concesso le autorizzazioni relative alle policy AWS Identity and Access Management (IAM) per l'avvio delle Session Manager sessioni. Per informazioni, consulta Controllo dell'accesso della sessione utente alle istanze.

Nessuna autorizzazione a modificare le preferenze delle sessioni

Problema: tenti di aggiornare le preferenze globali delle sessioni della tua organizzazione, ma il sistema indica che non disponi delle autorizzazioni necessarie.

• Soluzione: un amministratore di sistema non ti ha concesso le autorizzazioni di policy IAM per l'impostazione delle preferenze del Session Manager. Per informazioni, consulta Concedere o rifiutare a un utente le autorizzazioni per aggiornare le preferenze del Session Manager.

Nodo gestito non disponibile o non configurato per Session Manager

Problema 1: desideri avviare una sessione dalla pagina della console Start a session (Avvia una sessione), ma non sono presenti nodi gestiti nell'elenco.

• Soluzione A: il nodo gestito a cui desideri connetterti potrebbe non essere stato configurato AWS Systems Manager. Per ulteriori informazioni, consulta Configurazione AWS Systems Manager.

  Nota

  Se AWS Systems Manager SSM Agent è già in esecuzione su un nodo gestito quando colleghi il profilo dell'istanza IAM, potrebbe essere necessario riavviare l'agente prima che l'istanza venga elencata nella pagina Avvia una console di sessione.

• Soluzione B: la configurazione proxy applicata al SSM Agent sul tuo nodo gestito potrebbe essere corretta Se la configurazione del proxy non è corretta, il nodo gestito non sarà in grado di raggiungere gli endpoint del servizio necessari oppure il nodo potrebbe fare riferimento a un sistema operativo diverso a Systems Manager. Per ulteriori informazioni, consulta Configurazione SSM Agent per l'utilizzo di un proxy sui nodi Linux e Configurazione di SSM Agent per utilizzare un proxy per le istanze Windows Server.

Problema 2: un nodo gestito che desideri connettere si trova nell'elenco nella pagina della console Avvia una sessione, ma la pagina segnala che "L'istanza selezionata non è configurata per l'uso di Session Manager."

• Soluzione A: il nodo gestito è stato configurato per l'uso con il servizio Systems Manager, ma il profilo dell'istanza IAM collegato al nodo potrebbe non includere le autorizzazioni per la funzionalità del Session Manager. Per informazioni, consulta la sezione Verifica o creazione di un profilo dell'istanza IAM con autorizzazioni Session Manager.

• Soluzione B: il nodo gestito non esegue una versione dell'SSM Agent che supporta il Session Manager. Aggiorna l'SSM Agent sul nodo alla versione 2.3.68.0 o successiva.

  Aggiorna l'SSM Agent manualmente su un nodo gestito seguendo la procedura descritta nei passi Installazione e disinstallazione manuale SSM Agent su istanze EC2 per Windows Server, Installazione e disinstallazione manuale SSM Agent su istanze EC2 per Linux o Installazione e disinstallazione manuale SSM Agent su istanze EC2 per macOS, a seconda del sistema operativo in uso.

  In alternativa, utilizza il documento Run Command AWS-UpdateSSMAgent per aggiornare la versione dell'agente su uno o più nodi gestiti alla volta. Per informazioni, consulta Aggiornamento di SSM Agent utilizzando Run Command.

  Suggerimento

  Per mantenere sempre aggiornato l'agente, consigliamo di aggiornare SSM Agent alla versione più recente in base a una pianificazione automatizzata che potrai definire attraverso uno dei metodi seguenti:

  • Esegui AWS-UpdateSSMAgent nell'ambito di un'associazione State Manager. Per informazioni, consulta Guida passo dopo passo: Aggiornamento automatico di SSM Agent (CLI).

  • Esegui AWS-UpdateSSMAgent all'interno di una finestra di manutenzione. Per ulteriori informazioni sull'uso delle finestre di manutenzione, consulta Utilizzo delle finestre di manutenzione (console) e Tutorial: creazione e configurazione di una finestra di manutenzione (AWS CLI).

• Soluzione C: il nodo gestito non può raggiungere gli endpoint del servizio necessari. È possibile migliorare il livello di sicurezza dei nodi gestiti utilizzando gli endpoint di interfaccia forniti da AWS PrivateLink per connettersi agli endpoint Systems Manager. L'alternativa all'utilizzo di un endpoint di interfaccia è l'abilitazione dell'accesso a Internet in uscita sui nodi gestiti. Per ulteriori informazioni, consulta Utilizzare PrivateLink per configurare un endpoint VPC per. Session Manager

• Soluzione D: il nodo gestito dispone di risorse di memoria o CPU limitate. Sebbene il nodo gestito possa essere funzionale, se non dispone di risorse sufficienti, non è possibile stabilire una sessione. Per ulteriori informazioni, consulta Risoluzione di problemi relativi a un'istanza irraggiungibile.

Plug-in Session Manager non trovato

Per utilizzare i comandi AWS CLI per eseguire la sessione, il Session Manager plug-in deve essere installato anche sul computer locale. Per informazioni, consulta Installa il Session Manager plugin per AWS CLI.

Il plug-in di Session Manager non viene aggiunto automaticamente al percorso della riga di comando (Windows)

Quando installi il plug-in di Session Manager su Windows, l'eseguibile session-manager-plugin dovrebbe essere aggiunto automaticamente alla variabile di ambiente PATH del sistema operativo. Se il comando ha esito negativo quando lo esegui per verificare se il plug-in Session Manager è stato installato correttamente (aws ssm start-session --target instance-id), potrebbe essere necessario impostarlo manualmente utilizzando la seguente procedura.

Modifica della variabile PATH (Windows)

1. Premi il tasto Windows e immetti environment variables.

2. Scegli Modifica variabili di ambiente per l'account.

3. Scegli PATH e quindi Modifica.

4. Aggiungi percorsi al campo Valore variabile, separati da punti e virgola, come illustrato in questo esempio: C:\existing\path;C:\new\path

   C:\existing\path rappresenta il valore già presente nel campo. C:\new\path rappresenta il percorso che si desidera aggiungere, come mostrato in questi esempi.

   • Computer a 64 bit: C:\Program Files\Amazon\SessionManagerPlugin\bin\

   • Computer a 32 bit: C:\Program Files (x86)\Amazon\SessionManagerPlugin\bin\

5. Fai doppio clic su OK per applicare le nuove impostazioni.

6. Chiudi gli eventuali prompt di comando in esecuzione e riapri.

Il plug-in Session Manager non risponde

Durante una sessione di inoltro della porta, il traffico potrebbe interrompere l'inoltro se nel computer locale è installato un software antivirus. In alcuni casi, il software antivirus interferisce con il plug-in Session Manager che causa deadlock del processo. Per risolvere il problema, consentire o escludere il plug-in Session Manager dal software antivirus. Per informazioni sul percorso di installazione predefinito del plug-in Session Manager, consulta Installa il Session Manager plugin per AWS CLI.

TargetNotConnesso

Problema: si tenta di avviare una sessione, ma il sistema restituisce il messaggio di errore «Si è verificato un errore (TargetNotConnesso) durante la chiamata all' StartSession operazione: InstanceID isnot connected».

• Soluzione A: questo errore viene restituito quando il nodo gestito di destinazione specificato per la sessione non è completamente configurato per l'utilizzo con Session Manager. Per informazioni, consulta Configurazione di Session Manager.

• Soluzione B: questo errore viene restituito anche se si tenta di avviare una sessione su un nodo gestito che si trova in un altro Account AWS sistema operativo. Regione AWS

Dopo l'avvio di una sessione viene visualizzata una schermata vuota

Problema: avvii una sessione e Session Manager visualizza una schermata vuota.

• Soluzione A: questo problema può verificarsi quando il volume principale del nodo gestito è pieno. A causa della mancanza di spazio su disco, SSM Agent sul nodo gestito smette di funzionare. Per risolvere questo problema, usa Amazon CloudWatch per raccogliere metriche e log dai sistemi operativi. Per informazioni, consulta Raccogli metriche, log e tracce con l' CloudWatch agente nella Amazon CloudWatch User Guide.

• Soluzione B: se è stato effettuato l'accesso alla console utilizzando un collegamento che include una coppia endpoint e regione non corrispondente, potrebbe essere visualizzata una schermata vuota. Ad esempio, nel seguente URL della console, us-west-2 è l'endpoint specificato, ma us-west-1 è la Regione AWS specificata:

  https://us-west-2.console.aws.amazon.com/systems-manager/session-manager/sessions?region=us-west-1

• Soluzione C: il nodo gestito si connette a Systems Manager tramite endpoint VPC e Session Manager le tue preferenze scrivono l'output della sessione su un bucket Amazon S3 o un gruppo di log CloudWatch Amazon Logs, ma nel VPC non esiste un endpoint gateway logs o s3 un endpoint di interfaccia. Un endpoint s3 nel formato com.amazonaws.region.s3 è necessario se i nodi gestiti si connettono a Systems Manager utilizzando gli endpoint VPC e le preferenze Session Manager scrivono l'output di sessione in un bucket Amazon S3. In alternativa, com.amazonaws.region.logsè necessario un logs endpoint in questo formato se i nodi gestiti si connettono a Systems Manager utilizzando endpoint VPC e le Session Manager preferenze scrivono l'output della sessione in CloudWatch un gruppo di log Logs. Per ulteriori informazioni, consulta Creazione degli endpoint VPC per Systems Manager.

• Soluzione D: il gruppo di log o il bucket Amazon S3 specificato nelle preferenze di sessione è stato eliminato. Per risolvere questo problema, aggiornare le preferenze di sessione con un gruppo di log valido o un bucket S3.

• Soluzione E: il gruppo di log o il bucket Amazon S3 specificato nelle preferenze di sessione non è crittografato, ma hai impostato la proprietàcloudWatchEncryptionEnabled o input s3EncryptionEnabled a true. Per risolvere questo problema, aggiorna le preferenze di sessione con un gruppo di log o un bucket Amazon S3 crittografato oppure imposta la proprietà cloudWatchEncryptionEnabled o input s3EncryptionEnabled a false. Questo scenario è applicabile solo ai clienti che creano preferenze di sessione utilizzando gli strumenti a riga di comando.

Il nodo gestito non risponde durante le sessioni di esecuzione prolungata

Problema: il nodo gestito non risponde o si arresta in modo anomalo durante una sessione di esecuzione prolungata.

Soluzione: riduci la durata di conservazione dei log SSM Agent di Session Manager.

Riduzione della durata di conservazione dei log SSM Agent delle sessioni

1. Individua il plug-in amazon-ssm-agent.json.template nella directory /etc/amazon/ssm/ per Linux o C:\Program Files\Amazon\SSM per Windows.

2. Copia il contenuto di amazon-ssm-agent.json.template in un nuovo file nella stessa directory denominata amazon-ssm-agent.json.

3. Ridurre il valore di default del valore SessionLogsRetentionDurationHours nella proprietà SSM e salva il file.

4. Riavvia l'SSM Agent.

Si è verificato un errore (InvalidDocument) durante la chiamata dell'operazione StartSession

Problema: quando avvii una sessione utilizzando la AWS CLI, visualizzi l'errore seguente.

An error occurred (InvalidDocument) when calling the StartSession operation: Document type: 'Command' is not supported. Only type: 'Session' is supported for Session Manager.

Soluzione: il documento SSM specificato per il parametro --document-name non è un documento di Sessione. Utilizza la procedura seguente per visualizzare un elenco di documenti di sessione nella AWS Management Console.

Visualizzazione di un elenco di documenti di sessione

1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

2. Nel riquadro di navigazione, scegli Documenti.

3. Nell'elenco Categorie, scegli Documenti di sessione.