Session Manager 疑難排解

使用以下資訊以協助您對 AWS Systems Manager Session Manager 的問題進行故障診斷。

無權啟動工作階段

問題：您嘗試啟動工作階段，但系統會提示您沒有必須的許可。

• 解決方案：系統管理者尚未授予您 AWS Identity and Access Management (IAM) 政策權限來開始 Session Manager 工作階段。如需相關資訊，請參閱控制使用者工作階段存取執行個體。

無權變更工作階段偏好設定

問題：您嘗試替您的組織更新公有的工作階段偏好設定，但系統會提示您沒有必須的許可。

• 解決方案：系統管理者尚未授予您 IAM 政策權限來設定 Session Manager 工作階段。如需相關資訊，請參閱 授與或拒絕使用者許可來更新Session Manager偏好設定。

受管節點無法使用或未設定用於 Session Manager

問題 1：您想要啟動工作階段在 Start a session (開啟工作階段) 主控台頁面，但受管節點不在清單中。

• 解決方案 A：您想要連線的受管節點可能尚未設定用於 AWS Systems Manager。如需詳細資訊，請參閱設定 AWS Systems Manager。

  注意

  當您連接 IAM 執行個體設定檔時，如果 AWS Systems Manager SSM Agent 已在受管節點上執行，您可能需要重新啟動代理程式，該執行個體才會列在 Start a session (啟動工作階段) 主控台頁面上。

• 解決方案 B：套用至受管節點上的 SSM Agent 的代理組態可能不正確。如果代理組態不正確，受管節點將無法連線到所需的服務端點，或節點可能會以不同的作業系統向 Systems Manager 報告。如需詳細資訊，請參閱 設定 SSM Agent 來使用代理 (Linux) 及 將 SSM Agent 設定為使用 Windows Server 執行個體的代理。

問題 2：您想要連接的受管節點位於 Start a session (開啟一個工作階段) 主控台頁面的清單裡，但頁面報告「您所選擇的執行個體沒有設定使用 Session Manager。」

• 解決方案 A：受管節點已經被設定成使用於 Systems Manager 服務，但附加在節點上的 IAM 執行個體設定檔可能不會包含 Session Manager 功能的許可。如需相關資訊，請參閱使用 Session Manager 許可以驗證或建立 IAM 執行個體設定檔。

• 解決方案 B：受管節點無法在支援 Session Manager 的 SSM Agent 版本上執行。在節點上更新 SSM Agent 至 2.3.68.0 版本或更新版本。

  依照 在 Windows Server 專用 EC2 執行個體手動安裝 SSM Agent、在 Linux 的 EC2 執行個體手動安裝 SSM Agent 或 在 macOS 專用 EC2 執行個體使用 SSM Agent 步驟在受管節點上手動更新 SSM Agent，這取決於作業系統。

  或者您可以在一或多個受管節點上使用 Run Command 文件 AWS-UpdateSSMAgent 更新代理程式版本。如需相關資訊，請參閱 使用 Run Command 更新 SSM Agent。

  提示

  若要一直持續更新您的代理程式到最新版本，我們建議您定義自動化排程來更新 SSM Agent 到最新版，請使用下列其中一種方法。

  • 在 State Manager 關聯過程中執行 AWS-UpdateSSMAgent。如需相關資訊，請參閱 演練：自動更新 SSM Agent (CLI)。

  • 在維護時段內執行 AWS-UpdateSSMAgent。如需使用維護時段的資訊，請參閱 使用維護時段 (主控台) 及教學課程：建立和設定維護時段 (AWS CLI)。

• 解決方案 C：受管節點無法連線到必需的服務端點。您可以使用由 AWS PrivateLink 支援的介面端點，以連線到 Systems Manager 端點，從而提升受管節點的安全狀態。使用介面端點的替代方案是在您的受管節點上啟用對外網際網路存取。如果要詳細資訊，請參閱使 PrivateLink 用詳情，請參閱使用此詳情，請參閱使用Session Manager此

• 解決方案 D：受管節點的可用 CPU 或記憶體資源有限。雖然您的受管節點可能是正常的，但如果節點沒有足夠的可用資源，則無法建立工作階段。如需詳細資訊，請參閱對無法連線的執行個體進行故障診斷。

找不到 Session Manager 外掛程式

若要使用 AWS CLI 執行工作階段命令，Session Manager 外掛程式也必須安裝在您的本機電腦上。如需相關資訊，請參閱 安裝Session Manager外掛程式AWS CLI。

Session Manager外掛程式未自動新增到命令列路徑 (Windows)

當您在上面安裝Session Manager外掛程式Windows，session-manager-plugin可執行檔應該會自動新增到您的作業系統系統統的PATH環境變數。如果在您執行之後命令失敗，請檢查 Session Manager 外掛程式是否正確地安裝 (aws ssm start-session --target instance-id)，您可能需要使用以下程序手動設定。

修改 PATH 變數 (Windows)

1. 按下Windows鍵並輸入environment variables。

2. 選擇 Edit environment variables for your account (編輯您帳戶的環境變數)。

3. 選擇 PATH，然後選擇編輯。

4. 新增路徑至 Variable value (變數值) 欄位，以分號分隔，如下列範例所示：C:\existing\path;C:\new\path

   C:\existing\path 代表已經在欄位中的值。C:\new\path 代表您想要新增的路徑，如下列範例所示。

   • 64 位元機器：C:\Program Files\Amazon\SessionManagerPlugin\bin\

   • 32 位元機器：C:\Program Files (x86)\Amazon\SessionManagerPlugin\bin\

5. 選擇 OK (確定) 兩次以套用新的設定。

6. 關閉所有正在執行的命令提示並重新開啟。

Session Manager 外掛程式無回應

在連接埠轉送工作階段期間，如果您的本機電腦上安裝了防毒軟體，流量可能會停止轉送。在某些情況下，防毒軟體會干擾 Session Manager 外掛程式，從而導致程序死鎖。若要解決此問題，請在防毒軟體中允許或排除 Session Manager 外掛程式。如需有關 Session Manager 外掛程式的預設安裝路徑的相關資訊，請參閱 安裝Session Manager外掛程式AWS CLI。

TargetNotConnected

問題：您嘗試啟動工作階段，但系統傳回錯誤訊息：您嘗試啟動工作階段，但系統傳回錯誤訊息：您嘗試啟動工 StartSession 作階段，但系統傳回錯誤訊息：未連接 InstanceID。」TargetNotConnected

• 解決方案：當工作階段的指定目標受管節點未完全設定為與工作階段管理員搭配使用時，會傳回此錯誤。如需相關資訊，請參閱 設定 Session Manager。

• 解決方案 B：如果您嘗試啟動位於不同 AWS 帳戶 或 AWS 區域 受管節點上的工作階段，也會傳回此錯誤。

啟動工作階段後顯示空白畫面

問題：您啟動了工作階段，但 Session Manager 顯示空白畫面。

• 解決方案 A：當受管節點上的根磁碟區滿載時，就可能發生此問題。因為缺少磁碟空間，所以節點上的 SSM Agent 停止運作。如果要解決此問題，請使用 Amazon Amazon Amazon CloudWatch Systems Systems Systems Systems Systems Systems Systems Systems Systems Systems 如需相關資訊，請參閱監控 Amazon EC2 Linux 執行個體記憶體及磁碟指標，或監控 Amazon EC2 Windows 執行個體的記憶體及磁碟指標。

• 解決方案 B：如果您使用包含不相符端點和區域配對的連結來存取主控台，則可能會顯示空白畫面。例如，在下列主控台 URL 中，us-west-2 是指定的端點，但 us-west-1 是指定的 AWS 區域：

  https://us-west-2.console.aws.amazon.com/systems-manager/session-manager/sessions?region=us-west-1

• 解決方案 C：受管節點正在使用 VPC 端點連線至 Systems Manager，而您的Session Manager偏好設定會將工作階段輸出寫入 Amazon S3 儲存貯體或 Amazon CloudWatch Logs 日誌組，但 VPC 中不存在s3閘道端點或logs介面端點。如果您的受管節點使用 VPC 端點連線到 Systems Manager，則需要格式為 com.amazonaws.region.s3 的 s3 端點，並且 Session Manager 偏好設定會將工作階段輸出寫入至 Amazon Simple Storage Service (Amazon S3) 儲存貯體。或者，如果您的受管節點使用 VPClogs 端點連線到 Systems Manager，則需要格式com.amazonaws.region.logs為「受管節點，並且您的Session Manager偏好設定會將工作階段輸出寫入至 CloudWatch Logs 日誌群組。如需詳細資訊，請參閱若要建立 Systems Manager 的 VPC 端點。

• 解決方案 D：您在工作階段偏好設定中指定的日誌群組或 Amazon Simple Storage Service (Amazon S3) 儲存貯體已被刪除。若要解決此問題，請使用有效的日誌群組或 S3 儲存貯體來更新工作階段偏好設定。

• 解決方案 E：您在工作階段偏好設定中指定的日誌群組或 Amazon Simple Storage Service (Amazon S3) 儲存貯體未加密，但您已將 cloudWatchEncryptionEnabled 或 s3EncryptionEnabled 輸入設定為 true。若要解決此問題，請使用已加密的日誌群組或 Amazon Simple Storage Service (Amazon S3) 儲存貯體更新工作階段偏好設定，或將 cloudWatchEncryptionEnabled 或 s3EncryptionEnabled 輸入設定為 false。此案例僅適用於使用命令列工具建立工作階段偏好設定的客戶。

受管節點在長時間執行工作階段期間變得沒有回應

問題：您的受管節點沒有回應或在長時間執行工作階段期間當機。

解決方案：減少 Session Manager 的 SSM Agent 日誌保留期限。

若要減少工作階段的 SSM Agent 日誌保留期限

1. amazon-ssm-agent.json.template在的Linux、或C:\Program Files\Amazon\SSM的/etc/amazon/ssm/目錄中找到Windows。

2. 將 amazon-ssm-agent.json.template 的內容複製到同一目錄中的新檔案，名為 amazon-ssm-agent.json。

3. 降低 SSM 屬性中 SessionLogsRetentionDurationHours 值的預設值，並儲存檔案。

4. 重新啟動SSM Agent。