Processus de documentation échoué de façon inattendue : le gestionnaire de documents a expiré Session Manager Impossible de se connecter depuis la EC2 console Amazon Je n'ai pas le droit de démarrer une session SSM Agent pas en ligne Je n'ai pas le droit de modifier les préférences de session Le nœud géré n'est pas disponible ou n'est pas configuré pour Session Manager Session Manager plugin introuvable Session Manager le plugin n'est pas automatiquement ajouté au chemin de la ligne de commande (Windows)Session Manager le plugin ne répond plus TargetNotConnected Affichage d'un écran vide après le démarrage d'une session Le nœud géré cesse de répondre lorsque les sessions durent longtemps Une erreur s'est produite (InvalidDocument) lors de l'appel de l' StartSession opération

Résolution des problèmes Session Manager

Utilisez les informations suivantes pour résoudre les problèmes liés à AWS Systems Manager Session Manager.

Rubriques

Processus de documentation échoué de façon inattendue : le gestionnaire de documents a expiré
Session Manager Impossible de se connecter depuis la EC2 console Amazon
Je n'ai pas le droit de démarrer une session
SSM Agent pas en ligne
Je n'ai pas le droit de modifier les préférences de session
Le nœud géré n'est pas disponible ou n'est pas configuré pour Session Manager
Session Manager plugin introuvable
Session Manager le plugin n'est pas automatiquement ajouté au chemin de la ligne de commande (Windows)
Session Manager le plugin ne répond plus
TargetNotConnected
Affichage d'un écran vide après le démarrage d'une session
Le nœud géré cesse de répondre lorsque les sessions durent longtemps
Une erreur s'est produite (InvalidDocument) lors de l'appel de l' StartSession opération

Processus de documentation échoué de façon inattendue : le gestionnaire de documents a expiré

Problème : lors du démarrage d’une session sur un hôte Linux, Systems Manager renvoie le message d’erreur suivant :


document process failed unexpectedly: document worker timed out, 
check [ssm-document-worker]/[ssm-session-worker] log for crash reason

Si vous avez configuré SSM Agent journalisation, comme décrit dansVisualisation SSM Agent journaux, vous pouvez voir plus de détails dans le journal de débogage. Pour ce numéro, Session Manager affiche l'entrée de journal suivante :


failed to create channel: too many open files

Cette erreur indique généralement qu'il y en a trop Session Manager les processus de travail s'exécutent et le système d'exploitation sous-jacent a atteint une limite. Vous avez deux options à votre disposition pour résoudre ce problème.

Solution A : augmenter la limite de notification des fichiers du système d’exploitation

Vous pouvez augmenter la limite en exécutant la commande suivante depuis un hôte Linux distinct. Cette commande utilise Systems Manager Run Command. La valeur spécifiée passe max_user_instances à 8192. Cette valeur est considérablement supérieure à la valeur par défaut de 128, mais elle ne sollicitera pas les ressources de l’hôte :


aws ssm send-command --document-name AWS-RunShellScript \
--instance-id i-02573cafcfEXAMPLE  --parameters \
"commands=sudo sysctl fs.inotify.max_user_instances=8192"

Solution B : diminuer le nombre de notifications de fichiers utilisées par Session Manager dans l'hôte cible

Exécutez la commande suivante depuis un hôte Linux distinct pour répertorier les sessions exécutées sur l’hôte cible :


aws ssm describe-sessions --state Active --filters key=Target,value=i-02573cafcfEXAMPLE

Passez en revue le résultat de la commande pour identifier les sessions dont vous n’avez plus besoin. Vous pouvez mettre fin à ces sessions en exécutant la commande suivante depuis un hôte Linux distinct :


aws ssm terminate-session —session-id session ID

Optionnellement, une fois qu’il n’y a plus de sessions en cours d’exécution sur le serveur distant, vous pouvez libérer des ressources supplémentaires en exécutant la commande suivante à partir d’un hôte Linux séparé. Cette commande met fin à tous Session Manager les processus exécutés sur l'hôte distant, et par conséquent toutes les sessions sur l'hôte distant. Avant d’exécuter cette commande, vérifiez qu’il n’y a aucune session en cours que vous souhaitez conserver :


aws ssm send-command --document-name AWS-RunShellScript \
            --instance-id i-02573cafcfEXAMPLE --parameters \
'{"commands":["sudo kill $(ps aux | grep ssm-session-worker | grep -v grep | awk '"'"'{print $2}'"'"')"]}'

Session Manager Impossible de se connecter depuis la EC2 console Amazon

Problème : après avoir créé une nouvelle instance, l'onglet Gestionnaire de session de la console Amazon Elastic Compute Cloud (Amazon EC2) ne vous permet pas de vous connecter.

Solution A : créer un profil d'instance : si ce n'est déjà fait (comme indiqué dans les informations figurant dans l'onglet Gestionnaire de session de la EC2 console), créez un profil d'instance AWS Identity and Access Management (IAM) en utilisant Quick Setup. Quick Setup est un outil dans AWS Systems Manager.

Session Manager nécessite un profil d'instance IAM pour se connecter à votre instance. Vous pouvez créer un profil d'instance et l'attribuer à votre instance en créant une configuration de gestion d'hôte avec Quick Setup. Une configuration de gestion d'hôte crée un profil d'instance avec les autorisations requises et l'attribue à votre instance. Une configuration de gestion d'hôte active également d'autres outils Systems Manager et crée des rôles IAM pour exécuter ces outils. Il n'y a aucun frais d'utilisation Quick Setup ou les outils activés par la configuration de gestion de l'hôte. Ouvert Quick Setup et créez une configuration de gestion de l'hôte.

Important

Après avoir créé la configuration de gestion de l'hôte, Amazon EC2 peut prendre plusieurs minutes pour enregistrer la modification et actualiser l'onglet Gestionnaire de session. Si, au bout de deux minutes, l’onglet n’affiche pas un bouton Se connecter, redémarrez votre instance. Après le redémarrage, si vous ne voyez toujours pas l’option de connexion, ouvrez Configuration rapide et vérifiez que vous n’avez qu’une seule configuration de gestion d’hôte. S'il y en a deux, supprimez la configuration la plus ancienne et patientez quelques minutes.

Si vous ne parvenez toujours pas à vous connecter après avoir créé une configuration de gestion d'hôte, ou si vous recevez une erreur, notamment une erreur concernant SSM Agent, consultez l'une des solutions suivantes :

Solution B : aucune erreur, mais impossible de se connecter
Solution C : erreur concernant l'absence SSM Agent

Solution B : aucune erreur, mais impossible de se connecter

Si vous avez créé la configuration de gestion des hôtes, que vous avez attendu plusieurs minutes avant d'essayer de vous connecter et que vous ne parvenez toujours pas à vous connecter, il se peut que vous deviez appliquer manuellement la configuration de gestion des hôtes à votre instance. Utilisez la procédure suivante pour mettre à jour un Quick Setup configuration de la gestion de l'hôte et application des modifications à une instance.

Pour mettre à jour une configuration de gestion d'hôte à l'aide de Quick Setup

Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.
Dans le volet de navigation, choisissez Quick Setup.
Dans la liste Configurations, choisissez la configuration de Gestion des hôtes que vous avez créée.
Choisissez Actions, puis Enregistrer la configuration.
Au bas de la section Cibles, sous Choisissez la manière dont vous souhaitez cibler les instances, sélectionnez Manuel.
Dans la section Instances, choisissez l'instance que vous avez créée.
Choisissez Mettre à jour.

Patientez quelques minutes EC2 pour actualiser l'onglet Gestionnaire de session. Si vous ne parvenez toujours pas à vous connecter ou si vous recevez un message d'erreur, consultez les autres solutions à ce problème.

Solution C : erreur concernant l'absence SSM Agent

Si vous n'êtes pas parvenu à créer une configuration de gestion d'hôte en utilisant Quick Setup, ou si vous avez reçu un message d'erreur concernant SSM Agent n'étant pas installé, vous devrez peut-être installer manuellement SSM Agent sur votre instance. SSM Agent est un logiciel Amazon qui permet à Systems Manager de se connecter à votre instance en utilisant Session Manager. SSM Agent est installé par défaut sur la plupart des Amazon Machine Images (AMIs). Si votre instance a été créée à partir d'une AMI non standard ou d'une ancienne AMI, vous devrez peut-être installer l'agent manuellement. Pour la procédure d'installation SSM Agent, consultez la rubrique suivante qui correspond au système d'exploitation de votre instance.

Pour les problèmes liés à SSM Agent, voir Résolution des problèmes SSM Agent.

Je n'ai pas le droit de démarrer une session

Problème : vous essayez de démarrer une session, mais le système vous indique que vous ne disposez pas des autorisations nécessaires.

Solution : aucun administrateur système ne vous a accordé AWS Identity and Access Management (IAM) les autorisations relatives à la politique de démarrage Session Manager séances. Pour obtenir des informations, veuillez consulter Contrôler les accès de session utilisateur aux instances.

SSM Agent pas en ligne

Problème : un message s'affiche sur l' EC2 instance Amazon Session Manageronglet qui indique : SSM Agent n'est pas en ligne. Le SSM Agent n'a pas pu se connecter à un point de terminaison Systems Manager pour s'enregistrer auprès du service.

Solution : SSM Agent est un logiciel Amazon qui s'exécute sur EC2 des instances Amazon afin que Session Manager peut se connecter à eux. Si cette erreur s'affiche, SSM Agent ne parvient pas à établir une connexion avec le point de terminaison Systems Manager. Le problème peut être dû à des restrictions de pare-feu, à des problèmes de routage ou à un manque de connectivité Internet. Pour résoudre ce problème, étudiez les problèmes de connectivité réseau.

Je n'ai pas le droit de modifier les préférences de session

Problème : vous essayez de mettre à jour des préférences de session globales pour votre organisation, mais le système vous indique que vous ne disposez pas des autorisations nécessaires.

Solution : aucun administrateur système ne vous a accordé d'autorisations de politique IAM pour définir Session Manager préférences. Pour plus d’informations, veuillez consulter Accorder ou révoquer des autorisations utilisateur pour mettre à jour des préférences Session Manager.

Le nœud géré n'est pas disponible ou n'est pas configuré pour Session Manager

Problème 1 : vous souhaitez démarrer une session sur la page de la console Start a session (Démarrer une session), mais le nœud géré ne figure pas dans la liste.

Solution A : Le nœud géré auquel vous souhaitez vous connecter n'a peut-être pas été configuré AWS Systems Manager. Pour de plus amples informations, veuillez consulter Configuration de la console unifiée Systems Manager pour une organisation.

Note
Si AWS Systems Manager SSM Agent est déjà en cours d'exécution sur un nœud géré lorsque vous attachez le profil d'instance IAM. Vous devrez peut-être redémarrer l'agent avant que l'instance ne soit répertoriée sur la page de console Démarrer une session.
Solution B : La configuration du proxy que vous avez appliquée au SSM Agent sur votre nœud géré est peut-être incorrect. Si la configuration du proxy est incorrecte, le nœud géré ne sera pas en mesure d'atteindre les points de terminaison de service nécessaires, ou le nœud pourra signaler un système d'exploitation différent à Systems Manager. Pour plus d’informations, consultez Configuration de SSM Agent pour l’utilisation d’un proxy sur les nœuds Linux et Configuration SSM Agent pour utiliser un proxy pour Windows Server Instances.

Problème 2 : un nœud géré que vous souhaitez connecter figure dans la liste de la page Démarrer une session de console, mais la page indique que « L'instance que vous avez sélectionnée n'est pas configurée pour utiliser Session Manager."

Solution A : Le nœud géré a été configuré pour être utilisé avec le service Systems Manager, mais le profil d'instance IAM attaché au nœud peut ne pas inclure les autorisations pour le Session Manager outil. Pour plus d'informations, voir Vérifier ou créer un profil d'instance IAM avec Session Manager Autorisations.
Solution B : Le nœud géré n'exécute aucune version de SSM Agent qui soutient Session Manager. Mettre à jour SSM Agent sur le nœud vers la version 2.3.68.0 ou ultérieure.

Mettre à jour SSM Agent manuellement sur un nœud géré en suivant les étapes décrites dans Installation et désinstallation manuelles de SSM Agent sur les instances EC2 pour Windows Server Installation et désinstallation manuelles SSM Agent sur EC2 les instances pour Linux, ouInstallation et désinstallation manuelles SSM Agent sur EC2 des instances pour macOS, selon le système d'exploitation.

Vous pouvez également utiliser le Run Command document AWS-UpdateSSMAgent permettant de mettre à jour la version de l'agent sur un ou plusieurs nœuds gérés à la fois. Pour plus d’informations, veuillez consulter Mise à jour de SSM Agent à l'aide de Run Command.
Astuce
Pour que votre agent soit toujours à jour, nous vous recommandons de le mettre à jour SSM Agent à la dernière version selon un calendrier automatique que vous définissez à l'aide de l'une des méthodes suivantes :
- Exécuter AWS-UpdateSSMAgent dans le cadre d'un State Manager association. Pour plus d’informations, veuillez consulter Guide détaillé : mise à jour automatique de SSM Agent avec l’AWS CLI.
- Exécutez AWS-UpdateSSMAgent dans le cadre d'une fenêtre de maintenance. Pour de plus amples informations sur l'utilisation des fenêtres de maintenance, veuillez consulter Création et gestion de fenêtres de maintenance à l’aide de la console et Tutoriel : Créer et configurer une fenêtre de maintenance en utilisant l’AWS CLI.
Solution C : le nœud géré ne peut pas atteindre les points de terminaison de service nécessaires. Vous pouvez améliorer le niveau de sécurité de vos nœuds gérés en utilisant des points de terminaison d'interface optimisés AWS PrivateLink pour vous connecter aux points de terminaison Systems Manager. L'alternative à l'utilisation de points de terminaison d'interface consiste à activer l'accès Internet sortant sur vos nœuds gérés. Pour plus d'informations, consultez Utiliser PrivateLink pour configurer un point de terminaison VPC pour Session Manager.
Solution D : le nœud géré dispose de ressources d'UC ou de mémoire limitées. Même si votre nœud géré est fonctionnel, s'il ne dispose pas de ressources suffisantes, vous ne pouvez pas établir de session. Pour de plus amples informations, veuillez consulter Résolution d'un problème d'instance inaccessible.

Session Manager plugin introuvable

Pour utiliser les commandes AWS CLI d'exécution de session, Session Manager Le plugin doit également être installé sur votre machine locale. Pour plus d’informations, veuillez consulter Installation du plug-in Session Manager pour l'AWS CLI.

Session Manager le plugin n'est pas automatiquement ajouté au chemin de la ligne de commande (Windows)

Lorsque vous installez le Session Manager plugin activé Windows, l'session-manager-pluginexécutable doit être automatiquement ajouté à la variable d'PATHenvironnement de votre système d'exploitation. Si la commande a échoué après l'avoir exécutée pour vérifier si le Session Manager plugin installé correctement (aws ssm start-session --target instance-id), vous devrez peut-être le configurer manuellement en suivant la procédure suivante.

Pour modifier votre variable PATH (Windows)

Appuyez sur le Windows touche et entrezenvironment variables.
Sélectionnez Modifier les variables d'environnement pour votre compte.
Sélectionnez PATH, puis Modifier.
Ajoutez des chemins d'accès dans le champ Variable value (Valeur de la variable), en les séparant par des points virgules, tel qu'illustré dans l'exemple : C:\existing\path;C:\new\path

C:\existing\path représente la valeur déjà dans le champ. C:\new\path représente le chemin que vous souhaitez ajouter, comme indiqué dans ces exemples.
- machines 64 bits : C:\Program Files\Amazon\SessionManagerPlugin\bin\
- machines 32 bits : C:\Program Files (x86)\Amazon\SessionManagerPlugin\bin\
Sélectionnez OK deux fois pour appliquer les nouveaux paramètres.
Fermez toute invite de commande en cours d'exécution et rouvrez.

Session Manager le plugin ne répond plus

Durant une session de réacheminement de port, si un logiciel antivirus est installé sur votre ordinateur local, le réacheminement du trafic peut s'arrêter. Dans certains cas, le logiciel antivirus interfère avec le Session Manager plugin provoquant des blocages de processus. Pour résoudre ce problème, autorisez ou excluez le Session Manager plugin du logiciel antivirus. Pour plus d'informations sur le chemin d'installation par défaut pour le Session Manager plugin, voirInstallation du plug-in Session Manager pour l'AWS CLI.

TargetNotConnected

Problème : vous essayez de démarrer une session, mais le système renvoie le message d'erreur « Une erreur s'est produite (TargetNotConnected) lors de l'appel de l' StartSession opération InstanceID : non connecté ».

Solution A : cette erreur est renvoyée lorsque le nœud géré cible spécifié pour la session n'est pas entièrement configuré pour être utilisé avec Session Manager. Pour plus d’informations, veuillez consulter Configuration de Session Manager.
Solution B : Cette erreur est également renvoyée si vous tentez de démarrer une session sur un nœud géré situé dans un autre Compte AWS ou Région AWS.

Affichage d'un écran vide après le démarrage d'une session

Problème : vous démarrez une session et Session Manager affiche un écran vide.

Solution A : ce problème peut se produire lorsque le volume racine du nœud géré est plein. En raison du manque d'espace disque, SSM Agent sur le nœud cesse de fonctionner. Pour résoudre ce problème, utilisez Amazon CloudWatch pour collecter des métriques et des journaux à partir des systèmes d'exploitation. Pour plus d'informations, consultez la section Collecter des métriques, des journaux et des traces avec l' CloudWatch agent dans le guide de CloudWatch l'utilisateur Amazon.
Solution B : un écran vide peut s'afficher si vous avez accédé à la console à l'aide d'un lien qui inclut un point de terminaison et une paire de régions non appariées. Par exemple, dans l'URL de la console suivante, us-west-2 est le point de terminaison spécifié, mais us-west-1 est la Région AWS spécifiée :
```
https://us-west-2.console.aws.amazon.com/systems-manager/session-manager/sessions?region=us-west-1
```
Solution C : Le nœud géré se connecte à Systems Manager via des points de terminaison VPC, et votre Session Manager les préférences écrivent le résultat de la session dans un compartiment Amazon S3 ou un groupe de CloudWatch journaux Amazon Logs, mais aucun point de terminaison de s3 passerelle ou d'logsinterface n'existe dans le VPC. Un s3 point de terminaison au format com.amazonaws.region.s3est requis si vos nœuds gérés se connectent à Systems Manager via des points de terminaison VPC, et si votre Session Manager les préférences écrivent le résultat de la session dans un compartiment Amazon S3. Un logs point de terminaison au format com.amazonaws.region.logsest également requis si vos nœuds gérés se connectent à Systems Manager via des points de terminaison VPC, et si votre Session Manager les préférences écrivent le résultat de la session dans un groupe de CloudWatch journaux journaux. Pour de plus amples informations, veuillez consulter Création de points de terminaison de VPC pour Systems Manager.
Solution D : le groupe de journaux ou le compartiment Amazon S3 que vous avez spécifié dans vos préférences de session a été supprimé. Pour résoudre ce problème, mettez à jour vos préférences de session avec un groupe de journaux ou un compartiment S3 valide.
Solution E : le groupe de journaux ou le compartiment Amazon S3 que vous avez spécifié dans vos préférences de session n'est pas chiffré, mais vous avez défini l'entrée cloudWatchEncryptionEnabled ou s3EncryptionEnabled sur true. Pour résoudre ce problème, mettez à jour vos préférences de session avec un groupe de journaux ou un compartiment Amazon S3 chiffré, ou définissez l'entrée cloudWatchEncryptionEnabled ou s3EncryptionEnabled sur false. Ce scénario s'applique uniquement aux clients qui créent des préférences de session avec les outils de ligne de commande.

Le nœud géré cesse de répondre lorsque les sessions durent longtemps

Problème : votre nœud géré ne répond plus ou se bloque lorsqu'une session dure longtemps.

Solution : diminuez le SSM Agent durée de conservation des journaux pour Session Manager.

Pour diminuer le SSM Agent durée de conservation des journaux pour les sessions

amazon-ssm-agent.json.templateLocalisez-le dans le /etc/amazon/ssm/ répertoire pour Linux, ou C:\Program Files\Amazon\SSM pour Windows.
Copiez le contenu du amazon-ssm-agent.json.template dans un nouveau fichier nommé amazon-ssm-agent.json, dans le même répertoire.
Réduisez la valeur par défaut de la valeur SessionLogsRetentionDurationHours dans la propriété SSM et enregistrez le fichier.
Redémarrez le SSM Agent.

Une erreur s'est produite (InvalidDocument) lors de l'appel de l' StartSession opération

Problème : Le message d'erreur suivant s'affiche lorsque vous démarrez une session à l'aide de AWS CLI.


An error occurred (InvalidDocument) when calling the StartSession operation: Document type: 'Command' is not supported. Only type: 'Session' is supported for Session Manager.

Solution : Le document SSM que vous avez spécifié pour le paramètre --document-name n'est pas un document de Session. Utilisez la procédure suivante pour afficher la liste des documents de session dans la AWS Management Console.

Pour afficher la liste des documents de session

Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.
Dans le panneau de navigation, cliquez sur Documents.
Dans la liste des Catégories, sélectionnez Documents de session.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Schéma de document de session

State Manager