AccessDeniedException saat memanggil TerminateSession operasi Proses dokumen gagal secara tak terduga: pekerja dokumen kehabisan waktu Session Managertidak dapat terhubung dari EC2 konsol Amazon Tidak ada izin untuk memulai sesi SSM Agenttidak online Tidak ada izin untuk mengubah preferensi sesi Node terkelola tidak tersedia atau tidak dikonfigurasi untuk Session Manager Session ManagerPlugin tidak ditemukan Session Managerplugin tidak secara otomatis ditambahkan ke jalur baris perintah (Windows)Session ManagerPlugin menjadi tidak responsif TargetNotConnected Layar kosong ditampilkan setelah memulai sesi Node terkelola menjadi tidak responsif selama sesi berjalan lama Terjadi kesalahan (InvalidDocument) saat memanggil StartSession operasi

Pemecahan Masalah Session Manager

Gunakan informasi berikut untuk membantu Anda memecahkan masalah. AWS Systems Manager Session Manager

Topik

AccessDeniedException saat memanggil TerminateSession operasi
Proses dokumen gagal secara tak terduga: pekerja dokumen kehabisan waktu
Session Managertidak dapat terhubung dari EC2 konsol Amazon
Tidak ada izin untuk memulai sesi
SSM Agenttidak online
Tidak ada izin untuk mengubah preferensi sesi
Node terkelola tidak tersedia atau tidak dikonfigurasi untuk Session Manager
Session ManagerPlugin tidak ditemukan
Session Managerplugin tidak secara otomatis ditambahkan ke jalur baris perintah (Windows)
Session ManagerPlugin menjadi tidak responsif
TargetNotConnected
Layar kosong ditampilkan setelah memulai sesi
Node terkelola menjadi tidak responsif selama sesi berjalan lama
Terjadi kesalahan (InvalidDocument) saat memanggil StartSession operasi

AccessDeniedException saat memanggil TerminateSession operasi

Masalah: Saat mencoba mengakhiri sesi, Systems Manager mengembalikan kesalahan berikut:


An error occurred (AccessDeniedException) when calling the TerminateSession operation: 
User: <user_arn> is not authorized to perform: ssm:TerminateSession on resource: 
<ssm_session_arn> because no identity-based policy allows the ssm:TerminateSession action.

Solusi A: Konfirmasikan bahwa versi terbaru Session Manager plugin diinstal pada node

Masukkan perintah berikut di terminal dan tekan Enter.


session-manager-plugin --version

Solusi B: Instal atau instal ulang versi terbaru plugin

Untuk informasi selengkapnya, lihat Instal Session Manager Plugin untuk AWS CLI.

Solusi C: Mencoba membangun kembali koneksi ke node

Verifikasi bahwa node merespons permintaan. Coba bangun kembali sesi. Atau, jika perlu, buka EC2 konsol Amazon dan verifikasi status instance sedang berjalan.

Proses dokumen gagal secara tak terduga: pekerja dokumen kehabisan waktu

Masalah: Saat memulai sesi ke host Linux, Systems Manager mengembalikan kesalahan berikut:


document process failed unexpectedly: document worker timed out, 
check [ssm-document-worker]/[ssm-session-worker] log for crash reason

Jika Anda mengonfigurasi SSM Agent logging, seperti yang dijelaskan diMelihat SSM Agent log, Anda dapat melihat detail selengkapnya di log debugging. Untuk masalah ini, Session Manager menampilkan entri log berikut:


failed to create channel: too many open files

Kesalahan ini biasanya menunjukkan bahwa ada terlalu banyak proses Session Manager pekerja yang berjalan dan sistem operasi yang mendasarinya mencapai batas. Anda memiliki dua opsi untuk menyelesaikan masalah ini.

Solusi A: Tingkatkan batas notifikasi file sistem operasi

Anda dapat meningkatkan batas dengan menjalankan perintah berikut dari host Linux terpisah. Perintah ini menggunakan Systems ManagerRun Command. Nilai yang ditentukan meningkat max_user_instances menjadi 8192. Nilai ini jauh lebih tinggi daripada nilai default 128, tetapi tidak akan membebani sumber daya host:


aws ssm send-command --document-name AWS-RunShellScript \
--instance-id i-02573cafcfEXAMPLE  --parameters \
"commands=sudo sysctl fs.inotify.max_user_instances=8192"

Solusi B: Kurangi notifikasi file yang digunakan oleh Session Manager host target

Jalankan perintah berikut dari host Linux terpisah untuk membuat daftar sesi yang berjalan pada host target:


aws ssm describe-sessions --state Active --filters key=Target,value=i-02573cafcfEXAMPLE

Tinjau output perintah untuk mengidentifikasi sesi yang tidak lagi diperlukan. Anda dapat mengakhiri sesi tersebut dengan menjalankan perintah berikut dari host Linux terpisah:


aws ssm terminate-session —session-id session ID

Secara opsional, setelah tidak ada lagi sesi yang berjalan di server jarak jauh, Anda dapat membebaskan sumber daya tambahan dengan menjalankan perintah berikut dari host Linux terpisah. Perintah ini menghentikan semua Session Manager proses yang berjalan pada host jarak jauh, dan akibatnya semua sesi ke host jarak jauh. Sebelum Anda menjalankan perintah ini, pastikan tidak ada sesi yang sedang berlangsung yang ingin Anda pertahankan:


aws ssm send-command --document-name AWS-RunShellScript \
            --instance-id i-02573cafcfEXAMPLE --parameters \
'{"commands":["sudo kill $(ps aux | grep ssm-session-worker | grep -v grep | awk '"'"'{print $2}'"'"')"]}'

Session Managertidak dapat terhubung dari EC2 konsol Amazon

Masalah: Setelah membuat instance baru, tombol Connect > tab Session Manager di konsol Amazon Elastic Compute Cloud (Amazon EC2) tidak memberi Anda opsi untuk terhubung.

Solusi A: Buat profil instance: Jika Anda belum melakukannya (seperti yang diinstruksikan oleh informasi pada tab Session Manager di EC2 konsol), buat profil instance AWS Identity and Access Management (IAM) dengan menggunakan. Quick Setup Quick Setupadalah alat di AWS Systems Manager.

Session Managermemerlukan profil instans IAM untuk terhubung ke instans Anda. Anda dapat membuat profil instance dan menetapkannya ke instans Anda dengan membuat konfigurasi manajemen host denganQuick Setup. Konfigurasi manajemen host membuat profil instance dengan izin yang diperlukan dan menetapkannya ke instans Anda. Konfigurasi manajemen host juga memungkinkan alat Systems Manager lainnya dan membuat peran IAM untuk menjalankan alat tersebut. Tidak ada biaya untuk menggunakan Quick Setup atau alat yang diaktifkan oleh konfigurasi manajemen host. Buka Quick Setup dan buat konfigurasi manajemen host.

penting

Setelah Anda membuat konfigurasi manajemen host, Amazon EC2 dapat mengambil beberapa menit untuk mendaftarkan perubahan dan menyegarkan tab Session Manager. Jika tab tidak menampilkan tombol Connect setelah dua menit, reboot instance Anda. Setelah reboot, jika Anda masih tidak melihat opsi untuk terhubung, buka Quick Setup dan verifikasi bahwa Anda hanya memiliki satu konfigurasi manajemen host. Jika ada dua, hapus konfigurasi yang lebih lama dan tunggu beberapa menit.

Jika Anda masih tidak dapat terhubung setelah membuat konfigurasi manajemen host, atau jika Anda menerima kesalahan, termasuk kesalahanSSM Agent, lihat salah satu solusi berikut:

Solusi B: Tidak ada kesalahan, tetapi masih tidak dapat terhubung
Solusi C: Kesalahan tentang hilang SSM Agent

Solusi B: Tidak ada kesalahan, tetapi masih tidak dapat terhubung

Jika Anda membuat konfigurasi manajemen host, menunggu beberapa menit sebelum mencoba terhubung, dan masih tidak dapat terhubung, maka Anda mungkin perlu menerapkan konfigurasi manajemen host secara manual ke instans Anda. Gunakan prosedur berikut untuk memperbarui konfigurasi manajemen Quick Setup host dan menerapkan perubahan pada instance.

Untuk memperbarui konfigurasi manajemen host menggunakan Quick Setup

Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.
Di panel navigasi, pilih Quick Setup.
Dalam daftar Konfigurasi, pilih konfigurasi Manajemen Host yang Anda buat.
Pilih Tindakan, lalu pilih Edit konfigurasi.
Di dekat bagian bawah bagian Target, di bawah Pilih cara Anda ingin menargetkan instance, pilih Manual.
Di bagian Instances, pilih instance yang Anda buat.
Pilih Perbarui.

Tunggu beberapa menit EC2 untuk menyegarkan tab Session Manager. Jika Anda masih tidak dapat terhubung atau jika Anda menerima kesalahan, tinjau solusi yang tersisa untuk masalah ini.

Solusi C: Kesalahan tentang hilang SSM Agent

Jika Anda tidak dapat membuat konfigurasi manajemen host dengan menggunakanQuick Setup, atau jika Anda menerima kesalahan tentang SSM Agent tidak diinstal, Anda mungkin perlu menginstal secara manual SSM Agent pada instans Anda. SSM Agentadalah perangkat lunak Amazon yang memungkinkan Systems Manager terhubung ke instans Anda dengan menggunakanSession Manager. SSM Agentdiinstal secara default di sebagian besar Gambar Mesin Amazon (AMIs). Jika instans Anda dibuat dari AMI non-standar atau AMI yang lebih lama, Anda mungkin harus menginstal agen secara manual. Untuk prosedur yang akan diinstalSSM Agent, lihat topik berikut yang sesuai dengan sistem operasi instans Anda.

Untuk masalah denganSSM Agent, lihatPemecahan Masalah SSM Agent.

Tidak ada izin untuk memulai sesi

Masalah: Anda mencoba untuk memulai sesi, tetapi sistem memberitahu Anda bahwa Anda tidak memiliki izin yang diperlukan.

Solusi: Administrator sistem belum memberi Anda izin kebijakan AWS Identity and Access Management (IAM) untuk memulai Session Manager sesi. Untuk informasi, lihat Kontrol akses sesi pengguna ke instans.

SSM Agenttidak online

Masalah: Anda melihat pesan di Session Managertab EC2 instans Amazon yang menyatakan: "SSM Agenttidak online. SSM AgentItu tidak dapat terhubung ke titik akhir Systems Manager untuk mendaftarkan dirinya dengan layanan.”

Solusi: SSM Agent adalah perangkat lunak Amazon yang berjalan pada EC2 instans Amazon sehingga Session Manager dapat terhubung dengannya. Jika Anda melihat kesalahan SSM Agent ini, tidak dapat membuat koneksi dengan titik akhir Systems Manager. Kemungkinan sumber masalah bisa berupa pembatasan firewall, masalah perutean, atau kurangnya konektivitas internet. Untuk mengatasi masalah ini, selidiki masalah konektivitas jaringan. Untuk informasi selengkapnya, lihat Pemecahan Masalah SSM Agent dan Memecahkan masalah ketersediaan node terkelola. Untuk informasi tentang titik akhir Systems Manager, lihat AWS Systems Manager titik akhir dan kuota di Referensi Umum. AWS

Tidak ada izin untuk mengubah preferensi sesi

Masalah: Anda mencoba untuk memperbarui preferensi sesi global untuk organisasi Anda, tetapi sistem memberitahu Anda bahwa Anda tidak memiliki izin yang diperlukan.

Solusi: Administrator sistem belum memberi Anda izin kebijakan IAM untuk menyetel Session Manager preferensi. Untuk informasi, lihat Berikan atau tolak izin pengguna untuk memperbarui preferensi Session Manager.

Node terkelola tidak tersedia atau tidak dikonfigurasi untuk Session Manager

Masalah 1: Anda ingin memulai sesi di halaman Mulai konsol sesi, tetapi node terkelola tidak ada dalam daftar.

Solusi A: Node terkelola yang ingin Anda sambungkan mungkin belum dikonfigurasi AWS Systems Manager. Untuk informasi selengkapnya, lihat Menyiapkan konsol terpadu Systems Manager untuk organisasi.

catatan
Jika AWS Systems Manager SSM Agent sudah berjalan pada node terkelola saat Anda melampirkan profil instans IAM, Anda mungkin perlu memulai ulang agen sebelum instance terdaftar di halaman Mulai konsol sesi.
Solusi B: Konfigurasi proxy yang Anda terapkan SSM Agent pada node terkelola Anda mungkin salah. Jika konfigurasi proxy salah, node terkelola tidak akan dapat mencapai titik akhir layanan yang diperlukan, atau node mungkin melaporkan sebagai sistem operasi yang berbeda dengan Systems Manager. Untuk informasi selengkapnya, lihat Mengkonfigurasi SSM Agent untuk menggunakan proxy pada node Linux dan SSM AgentKonfigurasikan untuk menggunakan proxy untuk Windows Server instance.

Masalah 2: Node terkelola yang ingin Anda sambungkan ada dalam daftar di halaman Mulai konsol sesi, tetapi halaman tersebut melaporkan bahwa “Instance yang Anda pilih tidak dikonfigurasi untuk digunakanSession Manager.”

Solusi A: Node terkelola telah dikonfigurasi untuk digunakan dengan layanan Systems Manager, tetapi profil instans IAM yang dilampirkan ke node mungkin tidak menyertakan izin untuk alat tersebutSession Manager. Untuk selengkapnya, lihat Memverifikasi atau Membuat Profil Instans IAM dengan Session Manager Izin.
Solusi B: Node terkelola tidak menjalankan versi SSM Agent yang mendukungSession Manager. Perbarui SSM Agent pada node ke versi 2.3.68.0 atau yang lebih baru.

Perbarui SSM Agent secara manual pada node terkelola dengan mengikuti langkah-langkah dalam Menginstal dan menghapus instalan secara manual SSM Agent pada EC2 instance untuk Windows Server Menginstal dan menghapus instalan secara manual SSM Agent pada EC2 instance untuk Linux,Menginstal dan menghapus instalan secara manual SSM Agent pada EC2 instance untuk macOS, atau, tergantung pada sistem operasi.

Atau, gunakan Run Command dokumen AWS-UpdateSSMAgent untuk memperbarui versi agen pada satu atau lebih node terkelola pada satu waktu. Untuk informasi, lihat Memperbarui SSM Agent penggunaan Run Command.
Tip
Untuk selalu memperbarui agen Anda, kami sarankan memperbarui SSM Agent ke versi terbaru pada jadwal otomatis yang Anda tentukan menggunakan salah satu metode berikut:
- Jalankan AWS-UpdateSSMAgent sebagai bagian dari State Manager asosiasi. Untuk informasi, lihat Walkthrough: Perbarui SSM Agent secara otomatis dengan AWS CLI.
- Jalankan AWS-UpdateSSMAgent sebagai bagian dari jendela pemeliharaan. Untuk informasi tentang bekerja dengan jendela pemeliharaan, lihat Membuat dan mengelola jendela pemeliharaan menggunakan konsol dan Tutorial: Membuat dan mengkonfigurasi jendela pemeliharaan menggunakan AWS CLI.
Solusi C: Node terkelola tidak dapat mencapai titik akhir layanan yang diperlukan. Anda dapat meningkatkan postur keamanan node terkelola dengan menggunakan titik akhir antarmuka yang didukung oleh AWS PrivateLink untuk terhubung ke titik akhir Systems Manager. Alternatif untuk menggunakan titik akhir antarmuka adalah mengizinkan akses internet keluar pada node terkelola Anda. Untuk informasi selengkapnya, lihat Menggunakan PrivateLink untuk menyiapkan titik akhir VPC. Session Manager
Solusi D: Node yang dikelola memiliki sumber daya CPU atau memori yang terbatas. Meskipun node terkelola Anda mungkin berfungsi, jika node tidak memiliki cukup sumber daya yang tersedia, Anda tidak dapat membuat sesi. Untuk informasi selengkapnya, lihat Memecahkan masalah instans yang tidak dapat dijangkau.

Session ManagerPlugin tidak ditemukan

Untuk menggunakan perintah AWS CLI to run session, Session Manager plugin juga harus diinstal pada mesin lokal Anda. Untuk informasi, lihat Instal Session Manager Plugin untuk AWS CLI.

Session Managerplugin tidak secara otomatis ditambahkan ke jalur baris perintah (Windows)

Ketika Anda menginstal Session Manager pluginWindows, session-manager-plugin executable harus secara otomatis ditambahkan ke variabel PATH lingkungan sistem operasi Anda. Jika perintah gagal setelah Anda menjalankannya untuk memeriksa apakah Session Manager plugin diinstal dengan benar (aws ssm start-session --target instance-id), Anda mungkin perlu mengaturnya secara manual menggunakan prosedur berikut.

Untuk memodifikasi variabel PATH Anda (Windows)

Tekan Windows tombol dan masukkanenvironment variables.
Pilih Mengedit variabel lingkungan untuk akun Anda.
Pilih PATH dan kemudian pilih Edit.
Tambahkan jalur ke bidang Nilai variabel, dipisahkan oleh titik koma, seperti yang ditunjukkan dalam contoh ini: C:\existing\path;C:\new\path

C:\existing\pathmewakili nilai yang sudah ada di lapangan. C:\new\pathmewakili jalur yang ingin Anda tambahkan, seperti yang ditunjukkan pada contoh berikut.
- Mesin 64-bit: C:\Program Files\Amazon\SessionManagerPlugin\bin\
Pilih OK dua kali untuk menggunakan pengaturan baru.
Tutup semua prompt perintah yang berjalan dan buka kembali.

Session ManagerPlugin menjadi tidak responsif

Selama sesi penerusan port, lalu lintas mungkin berhenti meneruskan jika Anda memiliki perangkat lunak antivirus yang diinstal pada komputer lokal Anda. Dalam beberapa kasus, perangkat lunak antivirus mengganggu Session Manager plugin yang menyebabkan kebuntuan proses. Untuk mengatasi masalah ini, izinkan atau kecualikan Session Manager plugin dari perangkat lunak antivirus. Untuk informasi tentang jalur instalasi default untuk Session Manager plugin, lihatInstal Session Manager Plugin untuk AWS CLI.

TargetNotConnected

Masalah: Anda mencoba memulai sesi, tetapi sistem mengembalikan pesan kesalahan, “Terjadi kesalahan (TargetNotConnected) saat memanggil StartSession operasi: InstanceID tidak terhubung.”

Solusi A: Kesalahan ini dikembalikan ketika node terkelola target yang ditentukan untuk sesi tidak sepenuhnya dikonfigurasi untuk digunakan dengan Session Manager. Untuk informasi, lihat Mengatur Session Manager.
Solusi B: Kesalahan ini juga dikembalikan jika Anda mencoba memulai sesi pada node terkelola yang terletak di node yang berbeda Akun AWS atau Wilayah AWS.

Layar kosong ditampilkan setelah memulai sesi

Masalah: Anda memulai sesi dan Session Manager menampilkan layar kosong.

Solusi A: Masalah ini dapat terjadi ketika volume root pada node terkelola penuh. Karena kurangnya ruang disk, SSM Agent pada node berhenti bekerja. Untuk mengatasi masalah ini, gunakan Amazon CloudWatch untuk mengumpulkan metrik dan log dari sistem operasi. Untuk selengkapnya, lihat Mengumpulkan metrik, log, dan jejak dengan CloudWatch agen di Panduan CloudWatch Pengguna Amazon.
Solusi B: Layar kosong mungkin tampil jika Anda mengakses konsol menggunakan tautan yang menyertakantitik akhir dan pasangan Wilayah yang tidak cocok. Sebagai contoh, dalam URL konsol berikut, us-west-2 adalah titik akhir yang ditentukan, tapi us-west-1 adalah Wilayah AWS yang ditentukan.
```
https://us-west-2.console.aws.amazon.com/systems-manager/session-manager/sessions?region=us-west-1
```
Solusi C: Node terkelola terhubung ke Systems Manager menggunakan titik akhir VPC, dan Session Manager preferensi Anda menulis output sesi ke bucket Amazon S3 atau grup log CloudWatch Amazon Logs, tetapi s3 titik akhir gateway logs atau titik akhir antarmuka tidak ada di VPC. s3Titik akhir dalam format com.amazonaws.region.s3diperlukan jika node terkelola Anda terhubung ke Systems Manager menggunakan titik akhir VPC, dan preferensi Session Manager Anda menulis output sesi ke bucket Amazon S3. Atau, logs titik akhir dalam format com.amazonaws.region.logsdiperlukan jika node terkelola Anda terhubung ke Systems Manager menggunakan titik akhir VPC, dan preferensi Session Manager Anda menulis output sesi ke CloudWatch grup log Log. Untuk informasi selengkapnya, lihat Membuat VPC endpoint untuk Systems Manager.
Solusi D: Grup log atau bucket Amazon S3 yang Anda tentukan dalam preferensi sesi Anda telah dihapus. Untuk mengatasi masalah ini, perbarui preferensi sesi Anda dengan grup log atau bucket S3 yang valid.
Solusi E: Grup log atau bucket Amazon S3 yang Anda tentukan dalam preferensi sesi Anda tidak dienkripsi, tetapi Anda telah menetapkan cloudWatchEncryptionEnabled atau s3EncryptionEnabled input ke true. Untuk mengatasi masalah ini, perbarui preferensi sesi Anda dengan grup log atau bucket Amazon S3 yang dienkripsi, atau atur cloudWatchEncryptionEnabled atau s3EncryptionEnabled input ke false. Skenario ini hanya berlaku untuk pelanggan yang membuat preferensi sesi menggunakan alat baris perintah.

Node terkelola menjadi tidak responsif selama sesi berjalan lama

Masalah: Node terkelola Anda menjadi tidak responsif atau mogok selama sesi berjalan lama.

Solusi: Kurangi durasi retensi SSM Agent log untukSession Manager.

Untuk mengurangi durasi retensi SSM Agent log untuk sesi

Temukan amazon-ssm-agent.json.template di /etc/amazon/ssm/ direktori untukLinux, atau C:\Program Files\Amazon\SSM untukWindows.
Salin isi amazon-ssm-agent.json.template ke file baru di direktori yang sama bernama amazon-ssm-agent.json.
Kurangi nilai default dari nilai SessionLogsRetentionDurationHours dalam properti SSM, dan simpan file.
Mulai ulangSSM Agent.

Terjadi kesalahan (InvalidDocument) saat memanggil StartSession operasi

Masalah: Anda menerima kesalahan berikut saat memulai sesi dengan menggunakan AWS CLI.


An error occurred (InvalidDocument) when calling the StartSession operation: Document type: 'Command' is not supported. Only type: 'Session' is supported for Session Manager.

Solusi: Dokumen SSM yang Anda tentukan untuk --document-name parameter bukanlah dokumen Sesi. Gunakan prosedur berikut untuk melihat daftar dokumen Sesi di Konsol Manajemen AWS.

Untuk melihat daftar dokumen Sesi

Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.
Di panel navigasi, pilih Dokumen.
Dalam daftar Kategori, pilih Dokumen sesi.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Skema dokumen sesi

State Manager