Session Manager のトラブルシューティング - AWS Systems Manager

Session Manager のトラブルシューティング

以下の情報は、Session Manager に関する問題のトラブルシューティングを行うのに役立ちます。

セッションを開始するアクセス許可がありません

問題: セッションを開始しようとしましたが、システムから必要なアクセス権限がないと通知されました。

セッション設定を変更するためのアクセス許可がありません

問題: 組織のグローバルなセッション設定を更新しようとしましたが、システムから必要なアクセス権限がないと通知されました。

インスタンスが使用できないか、Session Manager 用に設定されていない

問題 1: [Start a session (セッションの開始)] コンソールページでセッションを開始したいのですが、インスタンスがリストにありません。

  • 解決策 A: 接続するインスタンスが、AWS Systems Manager サービスで使用するように設定されていない可能性があります。Systems Manager でインスタンスを使用するには、IAM インスタンスプロファイルをインスタンスにアタッチする必要があります。これにより、インスタンスに対してアクションを実行するためのアクセス許可が Systems Manager に付与されます。詳細については「Systems Manager の IAM インスタンスプロファイルを作成する」を参照してください。

    注記

    IAM インスタンスプロファイルをアタッチするときに SSM エージェントがインスタンスで既に実行されている場合、[セッションの開始] コンソールページにインスタンスが表示される前に、エージェントを再起動する必要がある場合があります。

  • 解決策 B : インスタンスで SSM エージェントに適用したプロキシ設定が正しくない可能性があります。プロキシ設定が適切でない場合、インスタンスは必要なサービスエンドポイントに到達できないか、インスタンスがに異なるオペレーティングシステムとして Systems Manager にレポートされることがあります。詳細については、「SSM エージェントがプロキシ (Linux) を使用するように設定する」および「SSM エージェントが Windows Server インスタンス用にプロキシを使用するように設定する」を参照してください。

問題 2: 接続しようとするインスタンスは [Start a session] (セッションの開始) コンソールページのリストにありますが、「選択したインスタンスが Session Manager を使用するように設定されていません」というページが表示されます。

Session Manager プラグインが見つからない

AWS CLI を使用してセッションコマンドを実行するには、ローカルマシンにも Session Manager プラグインがインストールされている必要があります。詳細については、(オプション) AWS CLI 用の Session Manager プラグインをインストールする を参照してください。

Session Manager プラグインがコマンドラインパスに自動的に追加されない (Windows)

Session Manager プラグインを Windows にインストールする場合、オペレーティングシステムの PATH 環境変数に session-manager-plugin 実行可能ファイルが自動的に追加されます。Session Manager プラグインが正しくインストールされているか (aws ssm start-session --target instance-id) 確認して、コマンド実行後に失敗した場合は、次の手順を使用して手動で設定する必要があります。

PATH 変数を変更するには (Windows)

  1. Windows キーを押し、「environment variables」と入力します。

  2. [Edit environment variables for your account] を選択します。

  3. [PATH] を選択して、[Edit] を選択します。

  4. 次の例に示すように、セミコロンで区切って [Variable value (変数値)] フィールドにパスを追加します: C:\existing\path;C:\new\path

    次の例に示すように、C:\existing\path は既にフィールドにある値を表します。C:\new\path は追加するパスを表します。

    • 64 ビットコンピュータ: C:\Program Files\Amazon\SessionManagerPlugin\bin\

    • 32 ビットコンピュータ: C:\Program Files (x86)\Amazon\SessionManagerPlugin\bin\

  5. [OK] を 2 回選択して、新しい設定を適用します。

  6. 実行中のコマンドプロンプトを閉じ、もう一度開きます。

TargetNotConnected

問題: セッションを開始しようとしましたが、システムは「StartSession オペレーションの呼び出し時にエラー (TargetNotConnected) が発生しました。InstanceID が接続されていません」というエラーメッセージを返します。

  • 解決方法: このエラーは、セッションに対して指定されたターゲットインスタンスがSession Managerで使用するように完全に設定されていない場合に返されます。詳細については、Session Manager を設定する を参照してください。

セッション開始後に空白の画面が表示される

問題: セッションを開始すると、Session Manager は空白の画面を表示します。

  • 解決策 A: この問題は、インスタンスのルートボリュームがいっぱいになったときに発生する可能性があります。ディスク容量不足のため、インスタンスの SSM エージェントが動作を停止します。この問題を解決するには、Amazon CloudWatch を使用して、オペレーティングシステムからメトリクスとログを収集します。詳細については、「Amazon EC2 Linux インスタンスのメモリとディスクのメトリクスのモニタリング」または「Amazon EC2 Windows インスタンスのメモリとディスクのメトリクスのモニタリング」を参照してください。

  • 解決策 B: エンドポイントとリージョンのペアが一致しないリンクを使用してコンソールにアクセスした場合、空白の画面が表示されることがあります。例えば、次のコンソール URL では、us-west-2 は指定されたエンドポイントですが、us-west-1 は指定された AWS リージョンです。

    https://us-west-2.console.aws.amazon.com/systems-manager/session-manager/sessions?region=us-west-1
  • 解決策 C: インスタンスは VPC エンドポイントを使用して Systems Manager に接続し、Session Manager の設定に基づいてセッション出力が Amazon S3 バケットに書き込まれますが、s3 ゲートウェイエンドポイントは VPC に存在しません。インスタンスが VPC エンドポイントを使用して Systems Manager に接続し、Session Manager の設定に基づいてセッション出力が Amazon S3 バケットに書き込まれる場合は、com.amazonaws.region.s3 形式の s3 エンドポイントが必要です。詳細については、「Systems Manager 用の VPC エンドポイントを作成する」を参照してください。

  • 解決策 D: セッション設定で指定したロググループまたは S3 バケットが削除されました。この問題を解決するには、有効なロググループまたは S3 バケットを使用してセッション設定を更新します。

  • 解決策 E: セッション設定で指定したロググループまたは S3 バケットは暗号化されませんが、 cloudWatchEncryptionEnabled または s3EncryptionEnabled と入力を true に設定しています。この問題を解決するには、暗号化されたロググループまたは S3 バケットを使用してセッション設定を更新するか、cloudWatchEncryptionEnabled または s3EncryptionEnabled 入力を false に設定します。このシナリオは、コマンドラインツールを使用してセッション設定を作成する顧客にのみ適用されます。