Session ManagerImpossible de se connecter depuis la EC2 console Amazon Je n'ai pas le droit de démarrer une session SSM Agentpas en ligne Je n'ai pas le droit de modifier les préférences de session Nœud géré non disponible ou non configuré pour Session Manager Plugin Session Manager introuvable Plug-in Session Manager pas ajouté automatiquement au chemin de la ligne de commande (Windows)Le plugin Session Manager ne répond pas TargetNotConnected Affichage d'un écran vide après le démarrage d'une session Le nœud géré cesse de répondre lorsque les sessions durent longtemps Une erreur s'est produite (InvalidDocument) lors de l'appel de l' StartSession opération

Résolution des problèmes de Session Manager

Consultez les informations suivantes pour tenter de résoudre les problèmes liés à AWS Systems Manager Session Manager.

Rubriques

Session ManagerImpossible de se connecter depuis la EC2 console Amazon
Je n'ai pas le droit de démarrer une session
SSM Agentpas en ligne
Je n'ai pas le droit de modifier les préférences de session
Nœud géré non disponible ou non configuré pour Session Manager
Plugin Session Manager introuvable
Plug-in Session Manager pas ajouté automatiquement au chemin de la ligne de commande (Windows)
Le plugin Session Manager ne répond pas
TargetNotConnected
Affichage d'un écran vide après le démarrage d'une session
Le nœud géré cesse de répondre lorsque les sessions durent longtemps
Une erreur s'est produite (InvalidDocument) lors de l'appel de l' StartSession opération

Session ManagerImpossible de se connecter depuis la EC2 console Amazon

Problème : après avoir créé une nouvelle instance, l'onglet Gestionnaire de session de la console Amazon Elastic Compute Cloud (AmazonEC2) ne vous permet pas de vous connecter.

Solution A : créer un profil d'instance : si vous ne l'avez pas déjà fait (comme indiqué dans les informations figurant dans l'onglet Gestionnaire de session de la EC2 console), créez un profil d'instance AWS Identity and Access Management (IAM) en utilisantQuick Setup. Quick Setupest une capacité de AWS Systems Manager.

Session Managernécessite un profil d'IAMinstance pour se connecter à votre instance. Vous pouvez créer un profil d'instance et l'attribuer à votre instance en créant une configuration de gestion des hôtes avec Quick Setup. Une configuration de gestion des hôtes crée un profil d'instance avec les autorisations requises et l'attribue à votre instance. Une configuration de gestion d'hôte active également d'autres fonctionnalités de Systems Manager et crée IAM des rôles pour exécuter ces fonctionnalités. L'utilisation de Quick Setup ou des fonctionnalités activées par la configuration de gestion des hôtes est gratuite. Ouvrez Quick Setup et créez une configuration de gestion des hôtes.

Important

Une fois que vous avez créé la configuration de gestion de l'hôte, Amazon EC2 peut prendre plusieurs minutes pour enregistrer la modification et actualiser l'onglet Gestionnaire de session. Si l'onglet n'affiche aucun bouton Connect au bout de deux minutes, redémarrez votre instance. Après le redémarrage, si vous ne voyez toujours pas l'option de connexion, ouvrez la Configuration rapide et vérifiez que vous n'avez qu'une seule configuration de gestion d'hôte. S'il y en a deux, supprimez la configuration la plus ancienne et patientez quelques minutes.

Si vous ne parvenez toujours pas à vous connecter après avoir créé une configuration de gestion des hôtes, ou si vous recevez un message d'erreur, notamment un message d'erreur concernant SSM Agent, consultez l'une des solutions suivantes :

Solution B : aucune erreur, mais impossible de se connecter
Solution C : erreur concernant l'absence de l'SSM Agent

Solution B : aucune erreur, mais impossible de se connecter

Si vous avez créé la configuration de gestion des hôtes, que vous avez attendu plusieurs minutes avant d'essayer de vous connecter et que vous ne parvenez toujours pas à vous connecter, il se peut que vous deviez appliquer manuellement la configuration de gestion des hôtes à votre instance. Utilisez la procédure suivante pour mettre à jour une configuration de gestion des hôtes Quick Setup et appliquer des modifications à une instance.

Pour mettre à jour une configuration de gestion d'hôtes en utilisant Quick Setup

Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.
Dans le panneau de navigation, sélectionnez Quick Setup.
Dans la liste Configurations, choisissez la configuration de Gestion des hôtes que vous avez créée.
Choisissez Actions, puis Enregistrer la configuration.
Au bas de la section Cibles, sous Choisissez la manière dont vous souhaitez cibler les instances, sélectionnez Manuel.
Dans la section Instances, choisissez l'instance que vous avez créée.
Choisissez Mettre à jour.

Patientez quelques minutes EC2 pour actualiser l'onglet Gestionnaire de session. Si vous ne parvenez toujours pas à vous connecter ou si vous recevez un message d'erreur, consultez les autres solutions à ce problème.

Solution C : erreur concernant l'absence de l'SSM Agent

Si vous n'avez pas pu créer de configuration de gestion d'hôte à l'aide deQuick Setup, ou si vous avez reçu un message d'erreur indiquant que vous n'avez SSM Agent pas été installé, vous devrez peut-être procéder à l'installation manuellement SSM Agent sur votre instance. SSM Agentest un logiciel Amazon qui permet à Systems Manager de se connecter à votre instance en utilisantSession Manager. SSM Agentest installé par défaut sur la plupart des Amazon Machine Images (AMIs). Si votre instance a été créée à partir d'une instance non standard AMI ou plus ancienneAMI, vous devrez peut-être installer l'agent manuellement. Pour la procédure d'installation de SSM Agent, consultez la rubrique suivante qui correspond au système d'exploitation de votre instance.

Pour les problèmes liés à SSM Agent, consultez Résolution des problèmes SSM Agent.

Je n'ai pas le droit de démarrer une session

Problème : vous essayez de démarrer une session, mais le système vous indique que vous ne disposez pas des autorisations nécessaires.

Solution : aucun administrateur système ne vous a accordé AWS Identity and Access Management (IAM) les autorisations de politique pour démarrer Session Manager des sessions. Pour obtenir des informations, veuillez consulter Contrôler les accès de session utilisateur aux instances.

SSM Agentpas en ligne

Problème : vous voyez un message sur l'Session Manageronglet EC2 instance Amazon indiquant : n'SSM Agentest pas en ligne. Impossible de SSM Agent se connecter à un point de terminaison Systems Manager pour s'enregistrer auprès du service.

Solution : SSM Agent il s'agit d'un logiciel Amazon qui s'exécute sur EC2 des instances Amazon afin de Session Manager pouvoir s'y connecter. Si cette erreur s'affiche, cela signifie SSM Agent qu'il est impossible d'établir une connexion avec le point de terminaison Systems Manager. Le problème peut être dû à des restrictions de pare-feu, à des problèmes de routage ou à un manque de connectivité Internet. Pour résoudre ce problème, étudiez les problèmes de connectivité réseau.

Je n'ai pas le droit de modifier les préférences de session

Problème : vous essayez de mettre à jour des préférences de session globales pour votre organisation, mais le système vous indique que vous ne disposez pas des autorisations nécessaires.

Solution : aucun administrateur système ne vous a accordé les IAM autorisations nécessaires pour définir les Session Manager préférences. Pour plus d’informations, veuillez consulter Accorder ou révoquer des autorisations utilisateur pour mettre à jour des préférences Session Manager.

Nœud géré non disponible ou non configuré pour Session Manager

Problème 1 : vous souhaitez démarrer une session sur la page de la console Start a session (Démarrer une session), mais le nœud géré ne figure pas dans la liste.

Solution A : Le nœud géré auquel vous souhaitez vous connecter n'a peut-être pas été configuré AWS Systems Manager. Pour de plus amples informations, veuillez consulter Con AWS Systems Manager figuration.

Note
S'il AWS Systems Manager SSM Agent est déjà en cours d'exécution sur un nœud géré lorsque vous attachez le profil d'IAMinstance, vous devrez peut-être redémarrer l'agent avant que l'instance ne soit répertoriée sur la page de console Démarrer une session.
Solution B : la configuration de proxy que vous avez appliquée à l'SSM Agent sur votre nœud géré peut être incorrecte. Si la configuration du proxy est incorrecte, le nœud géré ne sera pas en mesure d'atteindre les points de terminaison de service nécessaires, ou le nœud pourra signaler un système d'exploitation différent à Systems Manager. Pour plus d’informations, consultez Configuration SSM Agent pour utiliser un proxy sur des nœuds Linux et Configurer l'SSM Agent pour utiliser un proxy pour les instances Windows Server.

Problème 2 : un nœud géré auquel vous souhaitez vous connecter figure dans la liste sur la page de la console Start a session (Démarrer une session), mais la page indique que « L'instance que vous avez sélectionnée n'est pas configurée pour utiliser Session Manager ».

Solution A : Le nœud géré a été configuré pour être utilisé avec le service Systems Manager, mais le profil d'IAMinstance attaché au nœud n'inclut peut-être pas les autorisations relatives à Session Manager cette fonctionnalité. Pour plus d'informations, voir Vérifier ou créer un profil d'IAMinstance avec Session Manager des autorisations.
Solution B : le nœud géré n'exécute pas une version de l'SSM Agent qui prend en charge Session Manager. Mettez à jour l'SSM Agent du nœud vers la version 2.3.68.0 ou ultérieure.

Mettez manuellement à jour l'SSM Agent sur un nœud géré en suivant la procédure décrite sur les pages Installation et désinstallation manuelles SSM Agent sur EC2 des instances pour Windows Server, Installation et désinstallation manuelles SSM Agent sur les EC2 instances pour Linux ou Installation et désinstallation manuelles SSM Agent sur EC2 des instances pour macOS, selon votre système d'exploitation.

Vous pouvez également utiliser le document Run Command AWS-UpdateSSMAgent pour mettre à jour la version de l'agent sur un ou plusieurs nœuds gérés à la fois. Pour plus d’informations, veuillez consulter Mise à jour de SSM Agent à l'aide de Run Command.
Astuce
Pour garder constamment votre agent à jour, nous vous recommandons de configurer la mise à jour automatique de l'SSM Agent vers la dernière version, tel qu'expliqué ci-dessous :
- Exécutez AWS-UpdateSSMAgent dans le cadre d'une association State Manager. Pour plus d’informations, veuillez consulter Procédure pas à pas : mise à jour automatique SSM Agent avec le AWS CLI.
- Exécutez AWS-UpdateSSMAgent dans le cadre d'une fenêtre de maintenance. Pour de plus amples informations sur l'utilisation des fenêtres de maintenance, veuillez consulter Création et gestion des fenêtres de maintenance à l'aide de la console et Tutoriel : Création et configuration d'une fenêtre de maintenance à l'aide du AWS CLI.
Solution C : le nœud géré ne peut pas atteindre les points de terminaison de service nécessaires. Vous pouvez améliorer le niveau de sécurité de vos nœuds gérés en utilisant des points de terminaison d'interface optimisés AWS PrivateLink pour vous connecter aux points de terminaison Systems Manager. L'alternative à l'utilisation de points de terminaison d'interface consiste à activer l'accès Internet sortant sur vos nœuds gérés. Pour plus d'informations, voir Utiliser PrivateLink pour configurer un VPC point de terminaison pour Session Manager.
Solution D : Le nœud géré dispose de ressources CPU ou de mémoire limitées. Même si votre nœud géré est fonctionnel, s'il ne dispose pas de ressources suffisantes, vous ne pouvez pas établir de session. Pour de plus amples informations, veuillez consulter Résolution d'un problème d'instance inaccessible.

Plugin Session Manager introuvable

Pour utiliser les commandes AWS CLI d'exécution de session, le Session Manager plugin doit également être installé sur votre machine locale. Pour plus d’informations, veuillez consulter Installez le Session Manager plugin pour AWS CLI.

Plug-in Session Manager pas ajouté automatiquement au chemin de la ligne de commande (Windows)

Lorsque vous installez le plug-in Session Manager sur Windows, le fichier exécutable session-manager-plugin doit être ajouté automatiquement à la variable d'environnement PATH de votre système d'exploitation. Si la commande échoue après l'avoir exécutée pour vérifier si le plugin Session Manager était correctement installé (aws ssm start-session --target instance-id), vous devrez peut-être effectuer cet ajout manuellement à l'aide de la procédure suivante.

Pour modifier votre variable PATH (Windows)

Appuyez sur la touche Windows et saisissez environment variables.
Sélectionnez Modifier les variables d'environnement pour votre compte.
Choisissez, PATHpuis sélectionnez Modifier.
Ajoutez des chemins au champ Valeur variable, séparés par des points-virgules, comme indiqué dans cet exemple : C:\existing\path;C:\new\path

C:\existing\path représente la valeur déjà présente dans le champ. C:\new\path représente le chemin que vous souhaitez ajouter, comme indiqué dans ces exemples.
- machines 64 bits : C:\Program Files\Amazon\SessionManagerPlugin\bin\
- machines 32 bits : C:\Program Files (x86)\Amazon\SessionManagerPlugin\bin\
Sélectionnez OK deux fois pour appliquer les nouveaux paramètres.
Fermez toute invite de commande en cours d'exécution et rouvrez.

Le plugin Session Manager ne répond pas

Durant une session de réacheminement de port, si un logiciel antivirus est installé sur votre ordinateur local, le réacheminement du trafic peut s'arrêter. Dans certains cas, l'interférence d'un logiciel antivirus avec le plugin Session Manager provoque des deadlocks. Pour résoudre ce problème, autorisez ou excluez le plugin Session Manager dans le logiciel antivirus. Pour obtenir des informations sur le chemin d'installation par défaut pour le plugin Session Manager, veuillez consulter Installez le Session Manager plugin pour AWS CLI.

TargetNotConnected

Problème : vous essayez de démarrer une session, mais le système renvoie le message d'erreur « Une erreur s'est produite (TargetNotConnected) lors de l'appel de l' StartSession opération : InstanceID n'est pas connecté. »

Solution A : cette erreur est renvoyée lorsque le nœud géré cible spécifié pour la session n'est pas entièrement configuré pour être utilisé avec Session Manager. Pour plus d’informations, veuillez consulter Configuration de Session Manager.
Solution B : Cette erreur est également renvoyée si vous tentez de démarrer une session sur un nœud géré situé dans un autre Compte AWS ou Région AWS.

Affichage d'un écran vide après le démarrage d'une session

Problème: vous démarrez une session et Session Manager affiche un écran vide.

Solution A : ce problème peut se produire lorsque le volume racine du nœud géré est plein. En raison du manque d'espace disque, l'SSM Agent sur le nœud géré cesse de fonctionner. Pour résoudre ce problème, utilisez Amazon CloudWatch pour collecter des métriques et des journaux à partir des systèmes d'exploitation. Pour plus d'informations, consultez la section Collecter des métriques, des journaux et des traces avec l' CloudWatch agent dans le guide de CloudWatch l'utilisateur Amazon.
Solution B : un écran vide peut s'afficher si vous avez accédé à la console à l'aide d'un lien qui inclut un point de terminaison et une paire de régions non appariées. Par exemple, dans la console suivanteURL, us-west-2 c'est le point de terminaison spécifié, mais us-west-1 c'est le point de terminaison spécifié Région AWS.
```
https://us-west-2.console.aws.amazon.com/systems-manager/session-manager/sessions?region=us-west-1
```
Solution C : Le nœud géré se connecte à Systems Manager via des VPC points de terminaison, et vos Session Manager préférences écrivent le résultat de la session dans un compartiment Amazon S3 ou un groupe de CloudWatch journaux Amazon Logs, mais aucun point de terminaison de s3 passerelle ou d'logsinterface n'existe dans leVPC. Un s3 point de terminaison au format com.amazonaws.region.s3 est requis si vos nœuds gérés se connectent à Systems Manager à l'aide de VPC points de terminaison et si vos Session Manager préférences écrivent le résultat de la session dans un compartiment Amazon S3. Un logs point de terminaison au format com.amazonaws.region.logs est également requis si vos nœuds gérés se connectent à Systems Manager à l'aide de VPC points de terminaison et si vos Session Manager préférences écrivent le résultat de la session dans un groupe de CloudWatch journaux Logs. Pour de plus amples informations, veuillez consulter Création de VPC points de terminaison pour Systems Manager.
Solution D : le groupe de journaux ou le compartiment Amazon S3 que vous avez spécifié dans vos préférences de session a été supprimé. Pour résoudre ce problème, mettez à jour vos préférences de session avec un groupe de journaux ou un compartiment S3 valide.
Solution E : le groupe de journaux ou le compartiment Amazon S3 que vous avez spécifié dans vos préférences de session n'est pas chiffré, mais vous avez défini l'entrée cloudWatchEncryptionEnabled ou s3EncryptionEnabled sur true. Pour résoudre ce problème, mettez à jour vos préférences de session avec un groupe de journaux ou un compartiment Amazon S3 chiffré, ou définissez l'entrée cloudWatchEncryptionEnabled ou s3EncryptionEnabled sur false. Ce scénario s'applique uniquement aux clients qui créent des préférences de session avec les outils de ligne de commande.

Le nœud géré cesse de répondre lorsque les sessions durent longtemps

Problème : votre nœud géré ne répond plus ou se bloque lorsqu'une session dure longtemps.

Solution : réduisez la durée de conservation des journaux de l'SSM Agent pour Session Manager.

Pour réduire la durée de conservation des journaux de l'SSM Agent pour les sessions

Localisez le amazon-ssm-agent.json.template dans le répertoire /etc/amazon/ssm/ pour Linux, ou C:\Program Files\Amazon\SSM pour Windows.
Copiez le contenu du amazon-ssm-agent.json.template dans un nouveau fichier nommé amazon-ssm-agent.json, dans le même répertoire.
Réduisez la valeur par défaut de la valeur SessionLogsRetentionDurationHours dans la propriété SSM et enregistrez le fichier.
Redémarrez SSM Agent.

Une erreur s'est produite (InvalidDocument) lors de l'appel de l' StartSession opération

Problème : Le message d'erreur suivant s'affiche lorsque vous démarrez une session à l'aide de AWS CLI.


An error occurred (InvalidDocument) when calling the StartSession operation: Document type: 'Command' is not supported. Only type: 'Session' is supported for Session Manager.

Solution : Le SSM document que vous avez spécifié pour le --document-name paramètre n'est pas un document de session. Utilisez la procédure suivante pour afficher la liste des documents de session dans la AWS Management Console.

Pour afficher la liste des documents de session

Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.
Dans le panneau de navigation, cliquez sur Documents.
Dans la liste des Catégories, sélectionnez Documents de session.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Schéma de document de session

Run Command