本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Session Manager 疑难解答
使用以下信息来帮助解决与 Session Manager 相关的问题。
主题
没有启动会话的权限
问题:您尝试启动会话,但系统提示您没有必要的权限。
-
解决方案:系统管理员尚未授予您启动 AWS Identity and Access Management 会话的 IAM (Session Manager) 策略权限。有关信息,请参阅 控制用户会话对实例的访问。
没有更改会话首选项的权限
问题:您尝试更新组织的全局会话首选项,但系统提示您没有必要的权限。
-
解决方案:系统管理员尚未授予您设置 IAM 首选项的 Session Manager 策略权限。有关信息,请参阅 授予或拒绝更新 Session Manager 首选项的用户权限。
实例不可用或未配置为使用 Session Manager
问题 1:您希望在 Start a session (启动会话) 控制台页面上启动会话,但实例不在列表中。
-
解决方案 A:要连接到的实例可能尚未配置为与 AWS Systems Manager 服务结合使用。要使某个实例可以使用 Systems Manager,必须向该实例附加一个 IAM 实例配置文件,以便为 Systems Manager 提供对实例执行操作的权限。有关信息,请参阅 为 Systems Manager 创建 IAM 实例配置文件。
注意 如果在附加 SSM 代理 实例配置文件时 IAM 已在实例上运行,则可能需要在 Start a session (启动会话) 控制台页面上列出实例之前重新启动代理。
-
解决方案 B:您应用于实例上的 SSM 代理的代理配置可能不正确。如果代理配置不正确,实例将无法访问所需的服务终端节点,或者实例可能会向 Systems Manager 报告为不同的操作系统。有关更多信息,请参阅 配置 SSM 代理 以使用代理 (Linux) 和 配置 SSM 代理以使用 Windows Server 实例的代理。
问题 2:要连接的实例位于 Start a session (启动会话) 控制台页面上的列表中,但页面报告“The instance you selected is not configured to use Session Manager (您选择的实例未配置为使用 AWS IoT)”。
-
解决方案 A:该实例已配置为与 AWS Systems Manager 服务一起使用,但附加到该实例的 IAM 实例配置文件可能不包含 Session Manager 功能的权限。有关信息,请参阅验证或创建具有 Session Manager 权限的 IAM 实例配置文件。
-
解决方案 B:实例未运行支持 SSM 代理 的 Session Manager 版本。将实例上的 SSM 代理更新为版本 2.3.68.0 或更高版本。
根据操作系统,按照 SSM 代理、在 SSM 代理 的 EC2 实例上手动安装Windows Server 或 在适用于 Linux 的 EC2 实例上手动安装 SSM 代理 中的步骤操作,手动更新实例上的 在 SSM 代理 的 EC2 实例上安装和配置macOS。
或者,使用 Run Command 文档
AWS-UpdateSSMAgent一次更新一个或多个实例上的代理版本。有关信息,请参阅 使用 Run Command 更新 SSM 代理。提示 为了让代理始终保持最新状态,建议使用以下方法之一按照定义的自动计划将 SSM 代理更新为最新版本:
-
作为 状态管理器 关联的一部分运行
AWS-UpdateSSMAgent。有关信息,请参阅 演练:自动更新 SSM 代理 (CLI)。 -
运行
AWS-UpdateSSMAgent作为维护时段的一部分。有关使用维护时段的信息,请参阅使用维护时段(控制台)和教程:创建和配置维护时段 (AWS CLI)。
-
-
解决方案 C:实例位于 Virtual Private Cloud (VPC) 中,但尚未在 VPC 中创建
ssmmessages终端节点。格式为ssmmessagescom.amazonaws. 的 终端节点。region如果您使用 通过安全数据通道连接到实例,则需要 Session Manager.ssmmessages。有关更多信息,请参阅创建 Systems Manager 的 VPC 终端节点。 -
解决方案 D:实例的可用 CPU 或内存资源有限。尽管您的实例可能正常运行,但如果该实例没有足够的可用资源,则您无法建立会话。有关更多信息,请参阅对无法访问的实例进行故障排除。
未找到 Session Manager plugin
要使用 AWS CLI 运行会话命令,还必须在本地计算机上安装 Session Manager plugin。有关信息,请参阅 (可选)为 AWS CLI 安装 Session Manager plugin。
Session Manager plugin未自动添加到命令行路径 (Windows)
在 Windows 上安装 Session Manager plugin时,session-manager-plugin 可执行文件应自动添加到操作系统的 PATH 环境变量中。如果在运行检查是否正确安装了 Session Manager plugin的命令后命令失败 (aws ssm start-session --target
),则需要使用以下过程手动设置它。
instance-id
修改您的 PATH 变量 (Windows)
-
按 Windows 键并输入
environment variables。 -
选择 Edit environment variables for your account。
-
选择 PATH,然后选择 Edit。
-
向 Variable value (变量值) 字段添加路径,用分号分隔,如以下示例所示:
C:\\existing\\pathC:\\new\\pathC:\\existing\\pathC:\\new\\path-
64 位计算机:
C:\Program Files\Amazon\SessionManagerPlugin\bin\ -
32 位计算机:
C:\Program Files (x86)\Amazon\SessionManagerPlugin\bin\
-
-
选择 OK 两次以应用新设置。
-
关闭任何运行的命令提示符并重新打开。
TargetNotConnected
问题:您尝试启动会话,但系统将返回错误消息“调用 StartSession 操作时出现错误 (TargetNotConnected):InstanceID 未连接。”
-
解决方案:当会话的指定目标实例未完全配置为与会话管理器一起使用时,将返回此错误。有关信息,请参阅 设置 Session Manager。
启动会话后显示空白屏幕
问题:您启动一个会话,Session Manager 将显示一个空白屏幕。
-
解决方案 A:当实例上的根卷已满时,可能会出现此问题。由于磁盘空间不足,实例上的 SSM 代理 停止工作。要解决此问题,请使用 Amazon CloudWatch 从操作系统中收集指标和日志。有关信息,请参阅监控 Amazon EC2 Linux 实例的内存和磁盘指标或监控 Amazon EC2 Windows 实例的内存和磁盘指标。
-
解决方案 B:如果您使用包含不匹配终端节点和区域对的链接访问控制台,则会显示空白屏幕。例如,在以下控制台 URL 中,
us-west-2是指定的终端节点,但us-west-1是指定的 AWS 区域。https://us-west-2.console.aws.amazon.com/systems-manager/session-manager/sessions?region=us-west-1 -
解决方案 C:实例使用 VPC 终端节点连接到 Systems Manager,您的 Session Manager 首选项将会话输出写入 Amazon S3 存储桶,但 VPC 中不存在
s3网关终端节点。格式为s3com.amazonaws. 的 终端节点。region如果您的实例使用 VPC 终端节点连接到 ,并且您的 Systems Manager 首选项将会话输出写入 Session Manager 存储桶,则需要 Amazon S3.s3。有关更多信息,请参阅创建 Systems Manager 的 VPC 终端节点。 -
解决方案 D:您在会话首选项中指定的日志组或 S3 存储桶已删除。要解决此问题,请使用有效的日志组或 S3 存储桶更新您的会话首选项。
-
解决方案 E:您在会话首选项中指定的日志组或 S3 存储桶未加密,但您已将
cloudWatchEncryptionEnabled或s3EncryptionEnabled输入设置为true。 要解决此问题,请使用已加密的日志组或 S3 存储桶更新您的会话首选项,或者将cloudWatchEncryptionEnabled或s3EncryptionEnabled输入设置为false。 此方案仅适用于使用命令行工具创建会话首选项的客户。