• Amazon Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息，请参阅 [Amazon CloudWatch 控制面板文档](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

# 可诊断的非托管 EC2 实例问题类别
<a name="diagnosing-ec2-category-types"></a>

本主题列出了 EC2 管理问题的主要类别以及每个类别中 Systems Manager 可帮助您诊断并修复的具体问题。请注意，对于某些问题，Systems Manager 可识别问题，但不能提供自动修正措施。在这些情况下，Systems Manager 控制台会将您引导到帮助您手动解决问题的信息。

诊断过程会根据每组 EC2 实例所属的虚拟私有云（VPC）一次检查这些实例。

**Topics**
+ [问题类别：安全组配置和 HTTPS 通信](#unmanaged-ec2-issue-security-groups)
+ [问题类别：DNS 或 DNS 主机名配置](#unmanaged-ec2-issue-dns-configuration)
+ [问题类别：VPC 端点配置](#unmanaged-ec2-issue-vpc-endpoint-configuration)
+ [问题类别：网络 ACL 配置](#unmanaged-ec2-issue-nacl-configuration)

## 问题类别：安全组配置和 HTTPS 通信
<a name="unmanaged-ec2-issue-security-groups"></a>

诊断操作可能发现 SSM Agent 无法通过 HTTPS 与 Systems Manager 服务进行通信。在这些情况下，您可以选择执行一个自动化运行手册来尝试更新附加到实例的安全组。

**注意**  
有时，Systems Manager 可能无法自动修复这些问题，然而您可以手动编辑受影响的安全组。

**支持的问题类型**
+ **实例安全组**：端口 443 不允许出站流量
+ **`ssm` VPC 端点的安全组**：端口 443 不允许入站流量
+ **`ssmmessages` VPC 端点的安全组**：端口 443 不允许入站流量
+ **`ec2messages` VPC 端点的安全组**：端口 443 不允许入站流量

有关更多信息，请参阅 [验证端点安全组的入口规则](troubleshooting-ssm-agent.md#agent-ts-ingress-egress-rules)主题中的 [排除 SSM Agent 问题](troubleshooting-ssm-agent.md)。

## 问题类别：DNS 或 DNS 主机名配置
<a name="unmanaged-ec2-issue-dns-configuration"></a>

诊断操作可能发现没有为 VPC 正确配置域名系统 (DNS) 或 DNS 主机名。在这些情况下，您可以选择执行一个自动化运行手册来尝试启用受影响 VPC 的 `enableDnsSupport` 和 `enableDnsHostnames` 属性。

**支持的问题类型**
+ VPC 中已禁用 DNS 支持。
+ VPC 中已禁用 DNS 主机名。

有关更多信息，请参阅 [验证 VPC DNS 相关属性](troubleshooting-ssm-agent.md#agent-ts-dns-attributes)主题中的 [排除 SSM Agent 问题](troubleshooting-ssm-agent.md)。

## 问题类别：VPC 端点配置
<a name="unmanaged-ec2-issue-vpc-endpoint-configuration"></a>

诊断操作可能发现没有为 VPC 正确配置 VPC 端点。

如果 SSM Agent 所需的 VPC 端点不存在，则 Systems Manager 会尝试执行一个自动化运行手册来创建 VPC 端点，并将它们与每个相关区域性可用区（AZ）中的一个子网关联。如果所需的 VPC 端点存在，但没有与发现问题的子网相关联，则运行手册会将 VPC 端点关联到受影响的子网。

**注意**  
Systems Manager 不支持修复所有配置错误的 VPC 端点问题。在这些情况下，Systems Manager 会将您引导到手动修复说明，而不是运行自动化运行手册。

**支持的问题类型**
+ 未找到 PrivateLink 的 `ssm.region.amazonaws.com` 端点。
+ 未找到 PrivateLink 的 `ssmmessages.region.amazonaws.com` 端点。
+ 未找到 PrivateLink 的 `ec2messages.region.amazonaws.com` 端点。

**可诊断的问题类型**  
Systems Manager 可以诊断下面的问题类型，但目前没有可用于修复其问题的运行手册。您可以手动编辑您的配置以解决这些问题。
+ 实例的子网未连接到 `ssm.region.amazonaws.com` 端点。
+ 实例的子网未连接到 `ssmmessages.region.amazonaws.com` 端点。
+ 实例的子网未连接到 `ec2messages.region.amazonaws.com` 端点。

有关更多信息，请参阅 [验证您的 VPC 配置](troubleshooting-ssm-agent.md#agent-ts-vpc-configuration)主题中的 [排除 SSM Agent 问题](troubleshooting-ssm-agent.md)。

## 问题类别：网络 ACL 配置
<a name="unmanaged-ec2-issue-nacl-configuration"></a>

诊断操作可能会发现没有为 VPC 正确配置网络访问控制列表（NACL），从而阻止了 Systems Manager 通信所需的必要流量。NACL 是无状态的，因此出站和入站规则都必须允许 Systems Manager 流量。

Systems Manager 可以识别 NACL 配置问题并提供手动修复指导。

**支持的问题类型**
+ **实例子网 NACL**：不允许通过端口 443 向 Systems Manager 端点发送出站流量
+ **实例子网 NACL**：Systems Manager 响应不允许通过临时端口（1024-65535）接收入站流量

**可诊断的问题类型**  
Systems Manager 可以诊断下面的 NACL 配置问题，但是需要手动修复：
+ 实例的子网 NACL 会阻止发往 Systems Manager 端点的出站 HTTPS（端口 443）流量
+ 实例的子网 NACL 会阻止 Systems Manager 响应所需的入站临时端口流量（1024-65535）

有关更多信息，请参阅 [SSM Agent 故障排除](https://docs.amazonaws.cn/systems-manager/latest/userguide/troubleshooting-ssm-agent.html)和[您的 VPC 的自定义网络 ACL](https://docs.amazonaws.cn/vpc/latest/userguide/custom-network-acl.html#nacl-ephemeral-ports)。