Session Manager のトラブルシューティング - AWS Systems Manager

Session Manager のトラブルシューティング

以下の情報を参考にして、Session Manager に関する問題のトラブルシューティングを行います。

セッションを開始するアクセス許可がありません

問題: セッションを開始しようとしましたが、システムから必要なアクセス権限がないと通知されました。

セッション設定を変更するためのアクセス許可がありません

問題: 組織のグローバルなセッション設定を更新しようとしましたが、システムから必要なアクセス権限がないと通知されました。

インスタンスが使用できないか、Session Manager に対して設定されていません

問題 1: [Start a session (セッションの開始)] コンソールページでセッションを開始したいのですが、インスタンスがリストにありません。

  • ソリューション: 接続するインスタンスが、AWS Systems Manager サービスで使用するように構成されていない可能性があります。Systems Manager でインスタンスを使用するには、インスタンス上でアクションを実行するための Systems Manager のアクセス権限を付与する IAM インスタンスプロファイルをインスタンスにアタッチする必要があります。詳細については、Systems Manager の IAM インスタンスプロファイルを作成する を参照してください。

    注記

    IAM インスタンスプロファイルをアタッチするときに SSM エージェント がインスタンスですでに実行されている場合、[セッションの開始] コンソールページにインスタンスが表示される前に、エージェントを再起動する必要がある場合があります。

問題 2: 接続しようとするインスタンスは [Start a session (セッションの開始)] コンソールページのリストにありますが、「選択したインスタンスが Session Manager を使用するように構成されていません」というページが表示されます。

Session Manager plugin が見つかりません

AWS CLI を使用してセッションコマンドを実行するには、ローカルマシンにも Session Manager plugin がインストールされている必要があります。詳細については、(オプション) AWS CLI 用の Session Manager plugin をインストールする を参照してください。

Session Manager plugin がコマンドラインパスに自動的に追加されませんでした (Windows)

Session Manager plugin を Windows にインストールする場合、オペレーティングシステムの PATH 環境変数に session-manager-plugin 実行可能ファイルが自動的に追加されます。Session Manager plugin が正しくインストールされているか (aws ssm start-session --target instance-id) 確認して、コマンド実行後に失敗した場合は、次の手順を使用して手動で設定する必要があります。

PATH 変数を変更するには (Windows)

  1. Windows キーを押し、「environment variables」と入力します。

  2. [Edit environment variables for your account] を選択します。

  3. [PATH] を選択して、[Edit] を選択します。

  4. 次の例に示すように、セミコロンで区切って [Variable value (変数値)] フィールドにパスを追加します: C:\existing\path;C:\new\path

    次の例に示すように、C:\existing\path は既にフィールドにある値を表します。C:\new\path は追加するパスを表します。

    • 64 ビットコンピュータ: C:\Program Files\Amazon\SessionManagerPlugin\bin\

    • 32 ビットコンピュータ: C:\Program Files (x86)\Amazon\SessionManagerPlugin\bin\

  5. [OK] を 2 回選択して、新しい設定を適用します。

  6. 実行中のコマンドプロンプトを閉じ、もう一度開きます。

TargetNotConnected

問題: セッションを開始しようとしましたが、システムは「StartSession オペレーションの呼び出し時にエラー (TargetNotConnected) が発生しました。InstanceID が接続されていません」というエラーメッセージを返します。

  • 解決方法: このエラーは、セッションに対して指定されたターゲットインスタンスがSession Managerで使用するように完全に設定されていない場合に返されます。詳細については、Session Manager の設定 を参照してください。

セッション開始後に空白の画面が表示される

問題: セッションを開始すると、Session Manager に空白の画面が表示される。

  • 解決策 A: この問題は、インスタンスのルートボリュームがいっぱいになったときに発生する可能性があります。ディスク容量不足のため、インスタンスの SSM エージェント が動作を停止します。この問題を解決するには、Amazon CloudWatch を使用して、オペレーティングシステムからメトリクスとログを収集します。詳細については、「Amazon EC2 Linux インスタンスのメモリとディスクのメトリクスのモニタリング」または「Amazon EC2 Windows インスタンスのメモリとディスクのメトリクスのモニタリング」を参照してください。

  • 解決策 B: エンドポイントとリージョンのペアが一致しないリンクを使用してコンソールにアクセスした場合、空白の画面が表示されることがあります。たとえば、次のコンソール URL では、us-west-2 は指定されたエンドポイントですが、us-west-1 は指定された AWS リージョンです。

    https://us-west-2.console.aws.amazon.com/systems-manager/session-manager/sessions?region=us-west-1
  • 解決策 C: インスタンスは VPC エンドポイントを使用して Systems Manager に接続し、Session Manager 設定に基づいてセッション出力が Amazon S3 バケットに書き込まれますが、s3 ゲートウェイエンドポイントが VPC に存在しません。インスタンスが VPC エンドポイントを使用して Systems Manager に接続し、Session Manager 設定に基づいてセッション出力が Amazon S3 バケットに書き込まれる場合は、com.amazonaws.region.s3 形式の s3 エンドポイントが必要です。詳細については、「Systems Manager の VPC エンドポイントの作成」を参照してください。

  • 解決策 D: セッション設定で指定したロググループまたは S3 バケットが削除されました。この問題を解決するには、有効なロググループまたは S3 バケットを使用してセッション設定を更新します。

  • 解決策 E: セッション設定で指定したロググループまたは S3 バケットは暗号化されませんが、 cloudWatchEncryptionEnabled または s3EncryptionEnabled と入力を true に設定しています。この問題を解決するには、暗号化されたロググループまたは S3 バケットを使用してセッション設定を更新するか、cloudWatchEncryptionEnabled または s3EncryptionEnabled 入力を false に設定します。このシナリオは、コマンドラインツールを使用してセッション設定を作成する顧客にのみ適用されます。