Solução de problemas do Session Manager

Use as informações a seguir para ajudar a solucionar problemas com o Session Manager do AWS Systems Manager .

O Session Manager não consegue se conectar pelo console do Amazon EC2

Problema: depois de criar uma nova instância, a guia Gerenciador de Sessões no console do Amazon Elastic Compute Cloud (Amazon EC2) não oferece a opção de conexão.

Solução A: Crie um perfil de instância: se você ainda não tiver feito isso (conforme instruído pelas informações na guia Gerenciador de sessões no console do EC2), crie um perfil de instância AWS Identity and Access Management (IAM) usando. Quick Setup Quick Setupé uma capacidade de AWS Systems Manager.

O Session Manager requer um perfil de instância do IAM para se conectar à instância. É possível criar um perfil de instância e atribuí-lo à instância criando uma configuração de gerenciamento de host com a Quick Setup. Uma configuração de gerenciamento de host cria um perfil de instância com as permissões necessárias e o atribui à instância. Uma configuração de gerenciamento de host também habilita outros recursos do Systems Manager e cria perfis do IAM para executar esses recursos. Não há cobrança pelo uso da Quick Setup ou pelos recursos habilitados pela configuração de gerenciamento do host. Abra a Quick Setup e crie uma configuração de gerenciamento de host.

Importante

Depois de criar a configuração de gerenciamento do host, o Amazon EC2 pode levar vários minutos para registrar a alteração e atualizar a guia Gerenciador de Sessões. Se a guia não mostrar o botão Connect após dois minutos, reinicie sua instância. Após a reinicialização, se você ainda não encontrar a opção de conexão, abra a Configuração rápida e verifique se você tem apenas uma configuração de gerenciamento de host. Se houver duas, exclua a configuração mais antiga e espere alguns minutos.

Se mesmo assim você não conseguir se conectar depois de criar uma configuração de gerenciamento de host ou se receber um erro, incluindo um erro sobre o SSM Agent, consulte uma destas soluções:

• Solução B: não há erro, mas ainda não consigo conectar

• Solução C: erro de SSM Agent ausente

Solução B: não há erro, mas ainda não consigo conectar

Se você criou a configuração de gerenciamento de host, esperou alguns minutos antes de tentar se conectar e ainda não consegue se conectar, talvez seja necessário aplicar a configuração de gerenciamento de host à instância manualmente. Use o procedimento a seguir para atualizar uma configuração de gerenciamento de host da Quick Setup e aplicar alterações em uma instância.

Para atualizar uma configuração de gerenciamento de host usando a Quick Setup

1. Abra o AWS Systems Manager console em https://console.aws.amazon.com/systems-manager/.

2. No painel de navegação, escolha Quick Setup.

   - ou -

   Se a página AWS Systems Manager inicial abrir primeiro, escolha o ícone do menu ( ) para abrir o painel de navegação e, em seguida, escolha Quick Setupno painel de navegação.

3. Na lista Configurações, escolha a configuração do Gerenciamento de host que você criou.

4. Escolha Ações e depois Editar configuração.

5. Na seção Destinos, escolha Manual.

6. Na seção Instâncias, escolha a instância que você criou.

7. Escolha Atualizar.

Aguarde alguns minutos para que o EC2 atualize a guia Gerenciador de Sessões. Se você ainda não conseguir se conectar ou receber um erro, revise as soluções restantes para o problema.

Solução C: erro de SSM Agent ausente

Se você não conseguiu criar uma configuração de gerenciamento de host usando a Quick Setup, ou se recebeu um erro sobre o SSM Agent não estar instalado, talvez seja necessário instalar o SSM Agent manualmente em sua instância. O SSM Agent é um software da Amazon que possibilita que o Systems Manager se conecte à sua instância usando o Session Manager. O SSM Agent é instalado por padrão na maioria das imagens de máquina da Amazon (AMI) (AMIs). Se sua instância foi criada com base em uma AMI não padrão ou em uma AMI mais antiga, talvez seja necessário instalar o agente manualmente. Para o procedimento de instalação do SSM Agent, consulte o tópico a seguir que corresponde ao sistema operacional da instância.

• Windows Server

• macOS

• AlmaLinux

• Amazon Linux 1

• Amazon Linux 2 e AL2023

• CentOS

• CentOS Stream

• Debian Server

• Oracle Linux

• Red Hat Enterprise Linux

• Rocky Linux

• SUSE Linux Enterprise Server

• Ubuntu Server

Para problemas com o SSM Agent, consulte Solução de problemas de SSM Agent.

Sem permissão para iniciar uma sessão

Problema: você tenta iniciar uma sessão, mas o sistema informa que você não tem as permissões necessárias.

• Solução: um administrador do sistema não concedeu a você AWS Identity and Access Management (IAM) permissões de política para iniciar Session Manager sessões. Para obter mais informações, consulte Controlar o acesso de sessão do usuário às instâncias.

Sem permissão para alterar as preferências da sessão

Problema: você tenta atualizar as preferências de sessões globais para sua organização, mas o sistema informa que você não tem as permissões necessárias.

• Solução: um administrador do sistema não concedeu permissões de políticas do IAM para definir preferências do Session Manager. Para obter mais informações, consulte Conceder ou negar permissões a um usuário para atualizar as preferências do Session Manager.

Nó gerenciado não disponível ou não está configurado para o Session Manager

Problema 1: você quer iniciar uma sessão na página do console Start a session (Iniciar uma sessão), mas um nó gerenciado não está na lista.

• Solução A: O nó gerenciado ao qual você deseja se conectar pode não ter sido configurado AWS Systems Manager. Para ter mais informações, consulte Configurar o AWS Systems Manager.

  nota

  Se já AWS Systems Manager SSM Agent estiver em execução em um nó gerenciado ao anexar o perfil da instância do IAM, talvez seja necessário reiniciar o agente antes que a instância seja listada na página do console Iniciar uma sessão.

• Solução B: a configuração de proxy que você aplicou ao SSM Agent em seu nó gerenciado pode estar incorreta. Se a configuração do proxy estiver incorreta, o nó gerenciado não conseguirá alcançar os endpoints de serviço necessários ou o poderá ser relatado como um sistema operacional diferente para o Systems Manager. Para ter mais informações, consulte Configurar o SSM Agent para usar um proxy (Linux) e Configurar o SSM Agent para usar um proxy para instâncias do Windows Server.

Problema 2: um nó gerenciado ao qual você quer se conectar está na lista da página do console Start a session (Iniciar uma sessão), mas a página informa que "A instância que você selecionou não está configurada para usar o Session Manager".

• Solução A: o nó gerenciado foi configurado para uso com o serviço do Systems Manager, mas o perfil da instância do IAM anexado ao nó pode não incluir permissões para o recurso Session Manager. Para obter informações, consulte Verificar ou criar um perfil da instância do IAM com permissões do Session Manager.

• Solução B: o nó gerenciado não está executando uma versão do SSM Agent que oferece suporte ao Session Manager. Atualize o SSM Agent do nó para a versão 2.3.68.0 ou posterior.

  Atualize o SSM Agent manualmente em um nó gerenciado, seguindo as etapas em Instalando e desinstalando manualmente SSM Agent em instâncias do EC2 para Windows Server, Instalar o SSM Agent manualmente em instâncias do EC2 para Linux ou Trabalhar com o SSM Agent em instâncias do EC2 para macOS, dependendo do sistema operacional.

  Como alternativa, use o documento do Run Command, AWS-UpdateSSMAgent, para atualizar a versão do agente em um ou mais nós gerenciados de uma vez. Para obter mais informações, consulte Atualização do SSM Agent por meio de Run Command.

  dica

  Para manter o agente sempre atualizado, recomendamos atualizar SSM Agent para a versão mais recente através de um agendamento automatizado que você define usando um dos seguintes métodos:

  • Executar AWS-UpdateSSMAgent como parte de uma associação do State Manager. Para obter mais informações, consulte Demonstração: atualizar automaticamente o SSM Agent (CLI).

  • Execute AWS-UpdateSSMAgent como parte de uma janela de manutenção. Para obter informações sobre como trabalhar com janelas de manutenção, consulte Trabalhar com janelas de manutenção (console) e Tutorial: Criar e configurar uma janela de manutenção (AWS CLI).

• Solução C: o nó gerenciado não consegue alcançar os endpoints de serviço necessários. Você pode melhorar a postura de segurança de seus nós gerenciados usando endpoints de interface alimentados por AWS PrivateLink para se conectar aos endpoints do Systems Manager. A alternativa ao uso de endpoints da interface é permitir o acesso à Internet de saída em seus nós gerenciados. Para obter mais informações, consulte Usar PrivateLink para configurar um VPC endpoint para. Session Manager

• Solução D: o nó gerenciado tem recursos limitados de CPU ou memória disponíveis. Embora o nó gerenciado possa ser funcional, se ele não tiver recursos disponíveis suficientes, você não poderá estabelecer uma sessão. Para obter mais informações, consulte Solucionar problemas de uma instância inacessível.

O plugin Session Manager não foi encontrado

Para usar os comandos AWS CLI para executar a sessão, o Session Manager plug-in também deve estar instalado em sua máquina local. Para obter mais informações, consulte Instale o Session Manager plug-in para o AWS CLI.

O plug-in Session Manager não é adicionado automaticamente ao caminho de linha de comando (Windows)

Quando você instalar o plug-in do Session Manager no Windows, o session-manager-plugin executável deverá ser adicionado automaticamente à variável de ambiente PATH do sistema operacional. Se o comando falhou depois que você o executou para verificar se o plugin do Session Manager foi instalado corretamente (aws ssm start-session --target instance-id), pode ser necessário configurá-lo manualmente usando o procedimento a seguir.

Para modificar sua variável PATH (Windows)

1. Pressione a tecla Windows e digite environment variables.

2. Escolha Edit environment variables for your account (Editar variáveis de ambiente para sua conta).

3. Selecione PATH e, em seguida, Editar.

4. Adicione caminhos ao campo Variable value (Valor da variável) separados por ponto e vírgula, conforme este exemplo: C:\existing\path;C:\new\path

   C:\existing\path representa o valor já no campo. C:\new\path representa o caminho que você deseja adicionar, como nestes exemplos.

   • Máquinas 64-bit: C:\Program Files\Amazon\SessionManagerPlugin\bin\

   • Máquinas 32-bit: C:\Program Files (x86)\Amazon\SessionManagerPlugin\bin\

5. Escolha OK duas vezes para aplicar as novas configurações.

6. Feche todas as solicitações de comando em execução e abra novamente.

O plugin Session Manager não responde

Durante uma sessão de encaminhamento de porta, o tráfego poderá interromper o encaminhamento se você tiver um software antivírus instalado em sua máquina local. Em alguns casos, o software antivírus interfere com o plugin Session Manager causando bloqueios de processo. Para resolver esse problema, permita ou exclua o plugin do Session Manager do software antivírus. Para obter informações sobre o caminho de instalação padrão para o plugin Session Manager, consulte Instale o Session Manager plug-in para o AWS CLI.

TargetNotConnected

Problema: você tenta iniciar uma sessão, mas o sistema retorna a mensagem de erro: “Ocorreu um erro (TargetNotConnected) ao chamar a StartSession operação: instanceID não está conectada”.

• Solução A: esse erro é retornado quando o nó gerenciado de destino especificado para a sessão não estiver totalmente configurado para uso com o Session Manager. Para obter mais informações, consulte Configurar o Session Manager.

• Solução B: Esse erro também é retornado se você tentar iniciar uma sessão em um nó gerenciado localizado em um Conta da AWS ou diferente Região da AWS.

Tela em branco exibida após iniciar uma sessão

Problema: você inicia uma sessão e o Session Manager exibe uma tela em branco.

• Solução A: esse problema pode ocorrer quando o volume raiz em seu nó gerenciado estiver cheio. Devido à falta de espaço em disco, o SSM Agent do nó para de funcionar. Para resolver esse problema, use CloudWatch a Amazon para coletar métricas e registros dos sistemas operacionais. Para obter informações, consulte Monitorar métricas de memória e de disco para instâncias do Linux do Amazon EC2 ou Monitorar métricas de memória e de disco para instâncias do Windows do Amazon EC2.

• Solução B: uma tela em branco pode ser exibida se você acessou o console usando um link que inclui um par de endpoint e região incompatíveis. Por exemplo, no URL do console a seguir, us-west-2 é o endpoint especificado, mas us-west-1 é a região da Região da AWS especificada.

  https://us-west-2.console.aws.amazon.com/systems-manager/session-manager/sessions?region=us-west-1

• Solução C: O nó gerenciado está se conectando ao Systems Manager usando VPC endpoints, e suas Session Manager preferências gravam a saída da sessão em um bucket do Amazon S3 ou grupo de logs do CloudWatch Amazon Logs, mas s3 um endpoint de gateway logs ou endpoint de interface não existe na VPC. Um endpoint do s3 no formato com.amazonaws.region.s3 será necessário se os nós gerenciados estiverem conectados ao Systems Manager usando endpoints da VPC e suas preferências do Session Manager gravarem o resultado da sessão em um bucket do Amazon S3. Como alternativa, um logs endpoint no formato com.amazonaws.region.logsé necessário se seus nós gerenciados estiverem se conectando ao Systems Manager usando VPC endpoints e Session Manager suas preferências gravarem a saída da sessão em CloudWatch um grupo de registros de registros. Para ter mais informações, consulte Criar endpoints da VPC para o Systems Manager.

• Solução D: o grupo de logs ou bucket do Amazon S3 que você especificou nas preferências de sessão foi excluído. Para resolver esse problema, atualize suas preferências de sessão com um grupo de logs válido ou um bucket S3.

• Solução E: o grupo de logs ou bucket do Amazon S3 que você especificou em suas preferências de sessão não está criptografado, mas você definiu a entrada cloudWatchEncryptionEnabled ou s3EncryptionEnabled como true. Para resolver esse problema, atualize suas preferências de sessão com um grupo de logs ou bucket do Amazon S3 criptografado ou defina a entrada cloudWatchEncryptionEnabled ou s3EncryptionEnabled como false. Esse cenário só é aplicável aos clientes que criam preferências de sessão usando ferramentas da linha de comando.

O nó gerenciado deixa de responder durante sessões de execução longa

Problema: seu nó gerenciado deixa de responder ou falha durante uma sessão de execução longa.

Solução: diminuir a duração da retenção de logs do SSM Agent para Session Manager.

Para diminuir a duração da retenção de logs do SSM Agent para sessões

1. Localize amazon-ssm-agent.json.template no diretório /etc/amazon/ssm/ no Linux, ou em C:\Program Files\Amazon\SSM no Windows.

2. Copie o conteúdo do amazon-ssm-agent.json.template em um novo arquivo no mesmo diretório chamado amazon-ssm-agent.json.

3. Reduza o valor padrão do valor SessionLogsRetentionDurationHours na propriedade SSM e salve o arquivo.

4. Reinicie o SSM Agent.

Ocorreu um erro (InvalidDocument) ao chamar a StartSession operação

Problema: você recebe o seguinte erro ao iniciar uma sessão usando o AWS CLI.

An error occurred (InvalidDocument) when calling the StartSession operation: Document type: 'Command' is not supported. Only type: 'Session' is supported for Session Manager.

Solução: o documento SSM que você especificou para o --document-name parâmetro não é um documento de sessão. Use o procedimento a seguir para visualizar uma lista de documentos da sessão no AWS Management Console.

Para visualizar uma lista de documentos da sessão

1. Abra o AWS Systems Manager console em https://console.aws.amazon.com/systems-manager/.

2. No painel de navegação, escolha Documents.

3. Na lista Categorias, escolha Documentos da sessão.