排除 Session Manager的故障
使用以下信息来帮助解决与 Session Manager 相关的问题。
主题
没有启动会话的权限
问题:您尝试启动会话,但系统提示您没有必要的权限。
-
解决方案:系统管理员尚未授予您启动 Session Manager 会话的 IAM 策略权限。有关信息,请参阅控制用户会话对实例的访问。
没有更改会话首选项的权限
问题:您尝试更新组织的全局会话首选项,但系统提示您没有必要的权限。
-
解决方案:系统管理员尚未授予您设置 Session Manager 首选项的 IAM 策略权限。有关信息,请参阅 授予或拒绝更新 Session Manager 首选项的用户权限。
实例不可用或未配置为使用 Session Manager
问题 1:您需要在 Start a session (启动会话) 控制台页面上启动一个会话,但实例不在列表中。
-
解决方案:要连接到的实例可能尚未配置为配合 AWS Systems Manager 服务使用。要使某个实例可以使用 Systems Manager,必须向该实例附加一个 IAM 实例配置文件,以便为 Systems Manager 提供对实例执行操作的权限。有关信息,请参阅为 Systems Manager 创建 IAM 实例配置文件。
注意 如果在附加 IAM 实例配置文件时实例上已经在运行 SSM 代理,则在 Start a session (启动会话) 控制台页面上列出该实例之前,可能需要重新启动代理。
问题 2:Start a session (启动会话) 控制台页面的列表中显示了要连接的实例,但页面报告“The instance you selected is not configured to use Session Manager”(您选择的实例未配置为使用 Session Manager)。
-
解决方案 A:此实例已配置为可以使用 AWS Systems Manager 服务,但附加到实例的 IAM 实例配置文件不包含与 Session Manager 功能相关的权限。有关信息,请参阅验证或创建具有 Session Manager 权限的 IAM 实例配置文件。
-
解决方案 B:实例未运行支持 Session Manager 的 SSM 代理版本。将实例上的 SSM 代理更新为版本 2.3.68.0 或更高版本。
根据操作系统类型,按照在 EC2 实例上为 Windows Server 安装和配置 SSM 代理 或在适用于 Linux 的 EC2 实例上手动安装 SSM 代理 中的步骤操作,手动更新实例上的 SSM 代理。
或者,使用 Run Command 文档
AWS-UpdateSSMAgent一次更新一个或多个实例上的代理版本。有关信息,请参阅 使用 Run Command 更新 SSM 代理。提示 为了让代理始终保持最新状态,建议使用以下方法之一按照定义的自动计划将 SSM 代理 更新为最新版本:
-
作为 状态管理器 关联的一部分运行
AWS-UpdateSSMAgent。有关信息,请参阅 自动更新 SSM 代理 (CLI)。 -
运行
AWS-UpdateSSMAgent作为维护时段的一部分。有关使用维护时段的信息,请参阅使用维护时段(控制台)和教程:创建和配置维护时段 (AWS CLI)。
-
-
解决方案 C:实例位于 Virtual Private Cloud (VPC) 中,但尚未在 VPC 中创建
ssmmessages终端节点。仅当您使用 Session Manager 通过安全数据通道连接到实例时,才需要格式为 com.amazonaws.region.ssmmessages 的ssmmessages终端节点。有关更多信息,请参阅 创建 Systems Manager 的 VPC 终端节点。 -
解决方案 D:实例的可用 CPU 或内存资源有限。尽管您的实例可能正常运行,但是如果该实例没有足够的可用资源,则您无法建立会话。有关更多信息,请参阅对无法访问的实例进行故障排除。
未找到 Session Manager Plugin
To use the AWS CLI to run session commands, the Session Manager plugin must also be installed on your local machine. For information, see (可选)为 AWS CLI 安装 Session Manager Plugin.
Session Manager Plugin未自动添加到命令行路径 (Windows)
在 Windows 上安装 Session Manager plugin时,session-manager-plugin 可执行文件应自动添加到操作系统的 PATH 环境变量中。如果在运行检查是否正确安装了 Session Manager plugin的命令后命令失败 (aws ssm start-session --target
),则需要使用以下过程手动设置它。
instance-id
修改您的 PATH 变量 (Windows)
-
按 Windows 键并输入
environment variables。 -
选择 Edit environment variables for your account。
-
选择 PATH,然后选择 Edit。
-
向 Variable value (变量值) 字段添加路径,用分号分隔,如下例所示:
C:\existing\pathC:\new\pathC:\existing\pathC:\new\path-
64 位计算机:
C:\Program Files\Amazon\SessionManagerPlugin\bin\ -
32 位计算机:
C:\Program Files (x86)\Amazon\SessionManagerPlugin\bin\
-
-
选择 OK 两次以应用新设置。
-
关闭任何运行的命令提示符并重新打开。
TargetNotConnected
问题:您尝试启动会话,但系统返回错误消息:“调用 StartSession 操作时发生错误 (TargetNotConnected):InstanceID 未连接。”
-
解决方案:如果会话的指定目标实例未完全配置为与会话管理器一起使用,则返回此错误。有关信息,请参阅 Session Manager 入门。
启动会话后显示空白屏幕
问题:在您启动会话后,Session Manager 显示空白屏幕。
-
解决方案 A:如果实例上的根卷已满,则可能出现此问题。由于磁盘空间不足,实例上的 SSM 代理 停止工作。要解决此问题,请使用 Amazon CloudWatch 从操作系统中收集指标和日志。有关信息,请参阅监控 Amazon EC2 Linux 实例的内存和磁盘指标或监控 Amazon EC2 Windows 实例的内存和磁盘指标。
-
解决方案 B:如果您使用包含不匹配终端节点和区域对的链接访问控制台,则会显示空白屏幕。例如,在以下控制台 URL 中,
us-west-2是指定的终端节点,但us-west-1是指定的 AWS 区域:https://us-west-2.console.aws.amazon.com/systems-manager/session-manager/sessions?region=us-west-1 -
解决方案 C:实例正在使用 VPC 终端节点连接到 Systems Manager,您的 Session Manager 首选项将会话输出写入 Amazon S3 存储桶,但 VPC 中不存在
s3网关终端节点。如果您的实例正在使用 VPC 终端节点连接到 Systems Manager,并且您的 Session Manager 首选项将会话输出写入 Amazon S3 存储桶,则格式为 com.amazonaws.region.s3 的s3终端节点是必需的。有关更多信息,请参阅 创建 Systems Manager 的 VPC 终端节点。