故障診斷 Session Manager - AWS Systems Manager

故障診斷 Session Manager

使用以下資訊以協助您對 AWS Systems Manager Session Manager 的問題進行故障診斷。

無權啟動工作階段

問題:您嘗試啟動工作階段,但系統會提示您沒有必須的許可。

無權變更工作階段偏好設定

問題:您嘗試替您的組織更新公有的工作階段偏好設定,但系統會提示您沒有必須的許可。

執行個體無法使用或未設定用於Session Manager

問題 1:您想要啟動工作階段在 Start a session (開啟工作階段) 主控台頁面,但執行個體不在清單中。

  • 解決方案 A:您想要連接到執行個體可能尚未被設定使用 AWS Systems Manager 服務。若要搭配使用執行個體與 Systems Manager,則提供許可讓 Systems Manager 在執行個體上執行動作的 IAM 執行個體描述檔必須連接到執行個體。如需有關資訊,請參閱建立 Systems Manager 的 IAM 執行個體描述檔

    注意

    當您連接 IAM 執行個體描述檔時,如果 AWS Systems Manager SSM Agent 已在執行個體上執行,您可能需要重新啟動代理程式,該執行個體才會列在 Start a session (啟動工作階段) 主控台頁面上。

  • 解決方案 B:套用至執行個體上的 SSM Agent 的代理組態可能不正確。如果代理組態不正確,執行個體將無法連線到所需的服務端點,或執行個體可能會以不同的作業系統向 Systems Manager 報告。如需更多詳細資訊,請參閱 設定 SSM Agent 以使用代理 (Linux)將 SSM Agent 設定為使用 Windows Server 執行個體的代理

問題 2:您想要連接的執行個體位於 Start a session (開啟一個工作階段) 主控台頁面的清單裡,但頁面報告「您所選擇的執行個體沒有設定使用 Session Manager。」

找不到 Session Manager 外掛程式

若要使用 AWS CLI 執行工作階段命令,Session Manager 外掛程式也必須安裝在您的本機電腦上。如需相關資訊,請參閱「(選用) 為 AWS CLI 安裝 Session Manager 外掛程式」。

Session Manager 外掛程式未自動新增到命令列路徑 (Windows)

當您在 Windows 上安裝 Session Manager 外掛程式,session-manager-plugin 可執行檔應該會自動新增到您的作業系統的 PATH 環境變數。如果在您執行之後命令失敗,請檢查 Session Manager 外掛程式是否正確地安裝 (aws ssm start-session --target instance-id),您可能需要使用以下程序手動設定。

修改 PATH 變數 (Windows)

  1. 按下 Windows 鍵並輸入 environment variables

  2. 選擇 Edit environment variables for your account (編輯您帳戶的環境變數)

  3. 選擇 PATH,然後選擇編輯

  4. 新增路徑至 Variable value (變數值) 欄位,以分號分隔,如下列範例所示:C:\existing\path;C:\new\path

    C:\existing\path 代表已經在欄位中的值。C:\new\path 代表您想要新增的路徑,如下列範例所示。

    • 64 位元機器C:\Program Files\Amazon\SessionManagerPlugin\bin\

    • 32 位元機器C:\Program Files (x86)\Amazon\SessionManagerPlugin\bin\

  5. 選擇 OK (確定) 兩次以套用新的設定。

  6. 關閉所有正在執行的命令提示並重新開啟。

Session Manager 外掛程式無回應

在連接埠轉送工作階段期間,如果您的本機電腦上安裝了防毒軟體,流量可能會停止轉送。在某些情況下,防毒軟體會干擾 Session Manager 外掛程式,從而導致程序死鎖。若要解決此問題,請在防毒軟體中允許或排除 Session Manager 外掛程式。如需有關 Session Manager 外掛程式的預設安裝路徑的相關資訊,請參閱 (選用) 為 AWS CLI 安裝 Session Manager 外掛程式

TargetNotConnected

問題:您嘗試啟動工作階段,但系統傳回錯誤訊息:「呼叫 StartSession 操作時發生錯誤 (TargetNotConnected):未連接 實例 ID。」

  • 解決方案:當工作階段的指定目標執行個體未完全設定為與工作階段管理員搭配使用時,會傳回此錯誤。如需相關資訊,請參閱「設定 Session Manager」。

啟動工作階段後顯示空白畫面

問題:您啟動了工作階段,但 Session Manager 顯示空白畫面。

  • 解決方案 A:當執行個體上的根磁碟區滿載時,就可能發生此問題。因為缺少磁碟空間,所以執行個體上的 SSM Agent 停止運作。如果要解決此問題,請使用 Amazon CloudWatch 從作業系統收集指標和日誌。如需相關資訊,請參閱監控 Amazon EC2 Linux 執行個體記憶體及磁碟指標,或監控 Amazon EC2 Windows 執行個體的記憶體及磁碟指標

  • 解決方案 B:如果您使用包含不相符端點和區域配對的連結來存取主控台,則可能會顯示空白畫面。例如,在下列主控台 URL 中,us-west-2 是指定的端點,但 us-west-1 是指定的 AWS 區域:

    https://us-west-2.https://console.aws.amazon.com//systems-manager/session-manager/sessions?region=us-west-1
  • 解決方案 C:執行個體正在使用 VPC 端點連線至 Systems Manager,而您的 Session Manager 偏好設定會將工作階段輸出寫入 Amazon S3 儲存貯體或 Amazon CloudWatch Logs 日誌組,但 VPC 中不存在 s3 閘道端點或 logs 介面端點。如果您的執行個體使用 VPC 端點連線到 Systems Manager,則需要格式為 com.amazonaws.region.s3s3 端點,並且 Session Manager 偏好設定會將工作階段輸出寫入至 Amazon S3 儲存貯體。或者,如果您的執行個體使用 VPC 端點連線到 Systems Manager,則需要格式為 com.amazonaws.region.logslogs 端點,並且 Session Manager 偏好設定會將工作階段輸出寫入至 CloudWatch Logs 日誌群組。如需更多詳細資訊,請參閱 若要建立 Systems Manager 的 VPC 端點

  • 解決方案 D:您在工作階段偏好設定中指定的日誌群組或 Amazon S3 儲存貯體已被刪除。若要解決此問題,請使用有效的日誌群組或 S3 儲存貯體來更新工作階段偏好設定。

  • 解決方案 E:您在工作階段偏好設定中指定的日誌群組或 Amazon S3 儲存貯體未加密,但您已將 cloudWatchEncryptionEnableds3EncryptionEnabled 輸入設定為 true。若要解決此問題,請使用已加密的日誌群組或 Amazon S3 儲存貯體更新工作階段偏好設定,或將 cloudWatchEncryptionEnableds3EncryptionEnabled 輸入設定為 false。此案例僅適用於使用命令列工具建立工作階段偏好設定的客戶。

執行個體在長時間執行工作階段期間變得沒有回應

問題:您的執行個體沒有回應或在長時間執行工作階段期間當機。

解決方案:減少 Session Manager 的 SSM Agent 日誌保留期限。

若要減少工作階段的 SSM Agent 日誌保留期限

  1. 在 Linux 的 /etc/amazon/ssm/ 目錄或 Windows 的 C:\Program Files\Amazon\SSM 目錄中找到 amazon-ssm-agent.json.template

  2. amazon-ssm-agent.json.template 的內容複製到同一目錄中的新檔案,名為 amazon-ssm-agent.json

  3. 降低 SSM 屬性中 SessionLogsRetentionDurationHours 值的預設值,並儲存檔案。

  4. 重新啟動SSM Agent。