AccessDeniedException quando si chiama l' TerminateSession operazione Il processo documentale è fallito improvvisamente: l'operatore documentale è scaduto Session Managerimpossibile connettersi dalla EC2 console Amazon Nessuna autorizzazione ad avviare una sessione SSM Agent non online Nessuna autorizzazione a modificare le preferenze delle sessioni Nodo gestito non disponibile o non configurato per Session Manager Plug-in Session Manager non trovato Il plug-in di Session Manager non viene aggiunto automaticamente al percorso della riga di comando (Windows)Il plug-in Session Manager non risponde TargetNotConnected Dopo l'avvio di una sessione viene visualizzata una schermata vuota Il nodo gestito non risponde durante le sessioni di esecuzione prolungata Si è verificato un errore (InvalidDocument) durante la chiamata dell'operazione StartSession

Risoluzione dei problemi relativi a Session Manager

Utilizza le informazioni seguenti per risolvere i problemi relativi a AWS Systems Manager Session Manager.

Argomenti

AccessDeniedException quando si chiama l' TerminateSession operazione
Il processo documentale è fallito improvvisamente: l'operatore documentale è scaduto
Session Managerimpossibile connettersi dalla EC2 console Amazon
Nessuna autorizzazione ad avviare una sessione
SSM Agent non online
Nessuna autorizzazione a modificare le preferenze delle sessioni
Nodo gestito non disponibile o non configurato per Session Manager
Plug-in Session Manager non trovato
Il plug-in di Session Manager non viene aggiunto automaticamente al percorso della riga di comando (Windows)
Il plug-in Session Manager non risponde
TargetNotConnected
Dopo l'avvio di una sessione viene visualizzata una schermata vuota
Il nodo gestito non risponde durante le sessioni di esecuzione prolungata
Si è verificato un errore (InvalidDocument) durante la chiamata dell'operazione StartSession

AccessDeniedException quando si chiama l' TerminateSession operazione

Problema: quando si tenta di terminare una sessione, Systems Manager restituisce il seguente errore:


An error occurred (AccessDeniedException) when calling the TerminateSession operation: 
User: <user_arn> is not authorized to perform: ssm:TerminateSession on resource: 
<ssm_session_arn> because no identity-based policy allows the ssm:TerminateSession action.

Soluzione A: verificare che la versione più recente del Session Manager plugin sia installata sul nodo

Immettete il seguente comando nel terminale e premete Invio.


session-manager-plugin --version

Soluzione B: installa o reinstalla l'ultima versione del plugin

Per ulteriori informazioni, consulta Installazione del plugin Session Manager per la AWS CLI.

Soluzione C: tentativo di ristabilire una connessione al nodo

Verifica che il nodo risponda alle richieste. Prova a ristabilire la sessione. Oppure, se necessario, apri la EC2 console Amazon e verifica che lo stato dell'istanza sia in esecuzione.

Il processo documentale è fallito improvvisamente: l'operatore documentale è scaduto

Problema: quando si avvia una sessione su un host Linux, Systems Manager restituisce il seguente errore:


document process failed unexpectedly: document worker timed out, 
check [ssm-document-worker]/[ssm-session-worker] log for crash reason

Se è stata configurata la registrazione dell'SSM Agent, come descritto in Visualizzazione dei registri di SSM Agent, è possibile visualizzare maggiori dettagli nel log di debug. Per questo problema, Session Manager mostra la seguente voce di log:


failed to create channel: too many open files

Questo errore indica in genere che ci sono troppi processi di lavoro Session Manager in esecuzione e che il sistema operativo sottostante ha raggiunto un limite. Sono disponibili due opzioni per la risoluzione di questo problema.

Soluzione A: aumentare il limite di notifica dei file del sistema operativo

È possibile aumentare il limite eseguendo il comando seguente da un host Linux separato. Questo comando utilizza Systems Manager Run Command. Il valore specificato fa aumentare max_user_instances fino a 8192. Questo valore è notevolmente superiore al valore predefinito di 128, ma non affaticherà le risorse dell'host:


aws ssm send-command --document-name AWS-RunShellScript \
--instance-id i-02573cafcfEXAMPLE  --parameters \
"commands=sudo sysctl fs.inotify.max_user_instances=8192"

Soluzione B: diminuire le notifiche relative ai file utilizzate da Session Manager nell'host di destinazione

Esegui il comando seguente da un host Linux separato per elencare le sessioni in esecuzione sull'host di destinazione:


aws ssm describe-sessions --state Active --filters key=Target,value=i-02573cafcfEXAMPLE

Esamina l'output del comando per identificare le sessioni che non sono più necessarie. È possibile terminare tali sessioni eseguendo il comando seguente da un host Linux separato:


aws ssm terminate-session —session-id session ID

Facoltativamente, quando non ci sono più sessioni in esecuzione sul server remoto, è possibile liberare risorse aggiuntive eseguendo il comando seguente da un host Linux separato. Questo comando termina tutti i processi di Session Manager in esecuzione sull'host remoto e, di conseguenza, tutte le sessioni sull'host remoto. Prima di eseguire questo comando, verifica che non ci siano sessioni in corso che desideri mantenere:


aws ssm send-command --document-name AWS-RunShellScript \
            --instance-id i-02573cafcfEXAMPLE --parameters \
'{"commands":["sudo kill $(ps aux | grep ssm-session-worker | grep -v grep | awk '"'"'{print $2}'"'"')"]}'

Session Managerimpossibile connettersi dalla EC2 console Amazon

Problema: dopo aver creato una nuova istanza, il pulsante Connect > scheda Session Manager nella console Amazon Elastic Compute Cloud (Amazon EC2) non ti offre la possibilità di connetterti.

Soluzione A: crea un profilo di istanza: se non l'hai già fatto (come indicato dalle informazioni nella scheda Session Manager nella EC2 console), crea un profilo di istanza AWS Identity and Access Management (IAM) utilizzando. Quick Setup Quick Setupè uno strumento in AWS Systems Manager.

Session Manager richiede un profilo dell'istanza IAM per connettersi all'istanza. È possibile creare un profilo dell'istanza e assegnarlo all'istanza creando una configurazione di gestione dell'host con Quick Setup. Una configurazione di gestione dell'host crea un profilo dell'istanza con le autorizzazioni richieste e lo assegna all'istanza. Una configurazione di gestione dell'host abilita anche altri strumenti di Systems Manager e crea ruoli IAM per l'esecuzione di tali strumenti. L'utilizzo Quick Setup degli strumenti abilitati dalla configurazione di gestione dell'host è gratuito. Apri Quick Setup e crea una configurazione di gestione dell'host.

Importante

Dopo aver creato la configurazione di gestione dell'host, Amazon EC2 può impiegare alcuni minuti per registrare la modifica e aggiornare la scheda Session Manager. Se la scheda non mostra il pulsante Connetti dopo due o tre minuti, riavvia l'istanza. Dopo il riavvio, se ancora non vedi l'opzione per la connessione, apri Configurazione rapida e verifica che esista una sola configurazione di gestione dell'host. Se ne esistono due, elimina la configurazione precedente e attendi qualche minuto.

Se non riesci ancora a connetterti dopo aver creato una configurazione di gestione dell'host o se ricevi un errore, incluso un errore relativo a SSM Agent, consulta una delle seguenti soluzioni:

Soluzione B: nessun errore, ma non riesci ancora a connetterti
Soluzione C: errore relativo alla mancanza di SSM Agent

Soluzione B: nessun errore, ma non riesci ancora a connetterti

Se hai creato la configurazione di gestione dell'host, hai aspettato diversi minuti prima di provare a connetterti e non riesci ancora a connetterti, potrebbe essere necessario applicare manualmente la configurazione di gestione dell'host all'istanza. Utilizza la procedura seguente per aggiornare una configurazione di gestione dell'host di Quick Setup e applicare le modifiche a un'istanza.

Per aggiornare una configurazione di gestione dell'host utilizzando Quick Setup

Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.
Nel pannello di navigazione, scegliere Quick Setup.
Nell'elenco Configurazioni, scegli la configurazione Gestione host che hai creato.
Scegli Operazioni, quindi Modifica configurazione.
Nella parte inferiore della sezione Destinazioni, in Scegli come destinare le istanze, scegli Manuale.
Nella sezione Istanze, scegli l'istanza che hai creato.
Scegli Aggiorna.

Attendi qualche minuto EC2 per aggiornare la scheda Session Manager. Se ancora non riesci a connetterti o se ricevi un errore, esamina le soluzioni rimanenti per questo problema.

Soluzione C: errore relativo alla mancanza di SSM Agent

Se non sei riuscito a creare una configurazione di gestione dell'host utilizzando Quick Setup o se hai ricevuto un errore relativo alla SSM Agent mancata installazione, potresti dover eseguire l'installazione manualmente SSM Agent sull'istanza. SSM Agentè un software Amazon che consente a Systems Manager di connettersi alla tua istanza utilizzandoSession Manager. SSM Agentè installato per impostazione predefinita sulla maggior parte delle Amazon Machine Images (AMIs). Se l'istanza è stata creata da un'AMI non standard o da un'AMI precedente, potrebbe essere necessario installare manualmente l'agente. Per la procedura di installazione di SSM Agent, consulta il seguente argomento che corrisponde al sistema operativo dell'istanza.

Per problemi con SSM Agent, vedi Risoluzione dei problemi relativi a SSM Agent.

Nessuna autorizzazione ad avviare una sessione

Problema: tenti di avviare una sessione, ma il sistema indica che non disponi delle autorizzazioni necessarie.

Soluzione: un amministratore di sistema non ti ha concesso le autorizzazioni relative alle policy AWS Identity and Access Management (IAM) per l'avvio Session Manager delle sessioni. Per informazioni, consulta Controllo dell'accesso della sessione utente alle istanze.

SSM Agent non online

Problema: Session Managernella scheda dell' EC2 istanza Amazon viene visualizzato un messaggio che indica: "non SSM Agent è online. Non SSM Agent è riuscito a connettersi a un endpoint Systems Manager per registrarsi al servizio.»

Soluzione: SSM Agent è un software Amazon che viene eseguito su EC2 istanze Amazon in modo che Session Manager possa connettersi ad esse. Se viene visualizzato questo errore, significa che l'SSM Agent non è in grado di stabilire una connessione con l'endpoint di Systems Manager. Le possibili cause del problema potrebbero essere le restrizioni del firewall, i problemi di routing o la mancanza di connettività Internet. Per risolvere il problema, esaminare i problemi di connettività di rete. Per ulteriori informazioni, consultare Risoluzione dei problemi relativi a SSM Agent e Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti. Per informazioni sugli endpoint di Systems Manager, vedere AWS Systems Manager endpoints and quote nel AWS Riferimento generale.

Nessuna autorizzazione a modificare le preferenze delle sessioni

Problema: tenti di aggiornare le preferenze globali delle sessioni della tua organizzazione, ma il sistema indica che non disponi delle autorizzazioni necessarie.

Soluzione: un amministratore di sistema non ti ha concesso le autorizzazioni di policy IAM per l'impostazione delle preferenze del Session Manager. Per informazioni, consulta Concedere o rifiutare a un utente le autorizzazioni per aggiornare le preferenze del Session Manager.

Nodo gestito non disponibile o non configurato per Session Manager

Problema 1: desideri avviare una sessione dalla pagina della console Start a session (Avvia una sessione), ma non sono presenti nodi gestiti nell'elenco.

Soluzione A: Il nodo gestito a cui desideri connetterti potrebbe non essere stato configurato. AWS Systems Manager Per ulteriori informazioni, consulta Configurazione della console unificata di Systems Manager per un'organizzazione.

Nota
Se AWS Systems Manager SSM Agent è già in esecuzione su un nodo gestito quando colleghi il profilo dell'istanza IAM, potrebbe essere necessario riavviare l'agente prima che l'istanza venga elencata nella pagina Avvia una console di sessione.
Soluzione B: la configurazione proxy applicata al SSM Agent sul tuo nodo gestito potrebbe essere corretta Se la configurazione del proxy non è corretta, il nodo gestito non sarà in grado di raggiungere gli endpoint del servizio necessari oppure il nodo potrebbe fare riferimento a un sistema operativo diverso a Systems Manager. Per ulteriori informazioni, consultare Configurazione di SSM Agent per l'utilizzo di un proxy sui nodi Linux e Configurazione di SSM Agent per utilizzare un proxy per le istanze Windows Server.

Problema 2: un nodo gestito che desideri connettere si trova nell'elenco nella pagina della console Avvia una sessione, ma la pagina segnala che "L'istanza selezionata non è configurata per l'uso di Session Manager."

Soluzione A: Il nodo gestito è stato configurato per l'uso con il servizio Systems Manager, ma il profilo dell'istanza IAM collegato al nodo potrebbe non includere le autorizzazioni per lo Session Manager strumento. Per informazioni, consulta la sezione Verifica o creazione di un profilo dell'istanza IAM con autorizzazioni Session Manager.
Soluzione B: il nodo gestito non esegue una versione dell'SSM Agent che supporta il Session Manager. Aggiorna l'SSM Agent sul nodo alla versione 2.3.68.0 o successiva.

Aggiorna l'SSM Agent manualmente su un nodo gestito seguendo la procedura descritta nei passi Installazione e disinstallazione manuale SSM Agent sulle EC2 istanze di Windows Server, Installazione e disinstallazione manuale SSM Agent su EC2 istanze per Linux o Installazione e disinstallazione manuale SSM Agent sulle EC2 istanze di macOS, a seconda del sistema operativo in uso.

In alternativa, utilizza il documento Run Command AWS-UpdateSSMAgent per aggiornare la versione dell'agente su uno o più nodi gestiti alla volta. Per informazioni, consulta Aggiornamento di SSM Agent utilizzando Run Command.
Suggerimento
Per mantenere sempre aggiornato l'agente, consigliamo di aggiornare SSM Agent alla versione più recente in base a una pianificazione automatizzata che potrai definire attraverso uno dei metodi seguenti:
- Esegui AWS-UpdateSSMAgent nell'ambito di un'associazione State Manager. Per informazioni, consulta Procedura dettagliata: aggiorna SSM Agent automaticamente con AWS CLI.
- Esegui AWS-UpdateSSMAgent all'interno di una finestra di manutenzione. Per ulteriori informazioni sull'uso delle finestre di manutenzione, consulta Crea e gestisci finestre di manutenzione utilizzando la console e Tutorial: Creare e configurare una finestra di manutenzione utilizzando il AWS CLI.
Soluzione C: il nodo gestito non può raggiungere gli endpoint del servizio necessari. È possibile migliorare il livello di sicurezza dei nodi gestiti utilizzando gli endpoint di interfaccia forniti da AWS PrivateLink per connettersi agli endpoint Systems Manager. L'alternativa all'utilizzo di un endpoint di interfaccia è l'abilitazione dell'accesso a Internet in uscita sui nodi gestiti. Per ulteriori informazioni, consulta Utilizzare PrivateLink per configurare un endpoint VPC per. Session Manager
Soluzione D: il nodo gestito dispone di risorse di memoria o CPU limitate. Sebbene il nodo gestito possa essere funzionale, se non dispone di risorse sufficienti, non è possibile stabilire una sessione. Per ulteriori informazioni, consulta Risoluzione di problemi relativi a un'istanza irraggiungibile.

Plug-in Session Manager non trovato

Per utilizzare i comandi AWS CLI per eseguire la sessione, il Session Manager plug-in deve essere installato anche sul computer locale. Per informazioni, consulta Installazione del plugin Session Manager per la AWS CLI.

Il plug-in di Session Manager non viene aggiunto automaticamente al percorso della riga di comando (Windows)

Quando installi il plug-in di Session Manager su Windows, l'eseguibile session-manager-plugin dovrebbe essere aggiunto automaticamente alla variabile di ambiente PATH del sistema operativo. Se il comando ha esito negativo quando lo esegui per verificare se il plug-in Session Manager è stato installato correttamente (aws ssm start-session --target instance-id), potrebbe essere necessario impostarlo manualmente utilizzando la seguente procedura.

Modifica della variabile PATH (Windows)

Premi il tasto Windows e immetti environment variables.
Scegli Modifica variabili di ambiente per l'account.
Scegli PATH e quindi Modifica.
Aggiungi percorsi al campo Valore variabile, separati da punti e virgola, come illustrato in questo esempio: C:\existing\path;C:\new\path

C:\existing\pathrappresenta il valore già presente nel campo. C:\new\pathrappresenta il percorso da aggiungere, come illustrato nell'esempio seguente.
- Computer a 64 bit: C:\Program Files\Amazon\SessionManagerPlugin\bin\
Fai doppio clic su OK per applicare le nuove impostazioni.
Chiudi gli eventuali prompt di comando in esecuzione e riapri.

Il plug-in Session Manager non risponde

Durante una sessione di inoltro della porta, il traffico potrebbe interrompere l'inoltro se nel computer locale è installato un software antivirus. In alcuni casi, il software antivirus interferisce con il plug-in Session Manager che causa deadlock del processo. Per risolvere il problema, consentire o escludere il plug-in Session Manager dal software antivirus. Per informazioni sul percorso di installazione predefinito del plug-in Session Manager, consulta Installazione del plugin Session Manager per la AWS CLI.

TargetNotConnected

Problema: si tenta di avviare una sessione, ma il sistema restituisce il messaggio di errore «Si è verificato un errore (TargetNotConnected) durante la chiamata all' StartSession operazione: InstanceID non è connesso».

Soluzione A: questo errore viene restituito quando il nodo gestito di destinazione specificato per la sessione non è completamente configurato per l'utilizzo con Session Manager. Per informazioni, consulta Configurazione di Session Manager.
Soluzione B: questo errore viene restituito anche se si tenta di avviare una sessione su un nodo gestito che si trova in un altro Account AWS o Regione AWS.

Dopo l'avvio di una sessione viene visualizzata una schermata vuota

Problema: avvii una sessione e Session Manager visualizza una schermata vuota.

Soluzione A: questo problema può verificarsi quando il volume principale del nodo gestito è pieno. A causa della mancanza di spazio su disco, SSM Agent sul nodo gestito smette di funzionare. Per risolvere questo problema, usa Amazon CloudWatch per raccogliere metriche e log dai sistemi operativi. Per informazioni, consulta Raccogli metriche, log e tracce con l' CloudWatch agente nella Amazon CloudWatch User Guide.
Soluzione B: se è stato effettuato l'accesso alla console utilizzando un collegamento che include una coppia endpoint e regione non corrispondente, potrebbe essere visualizzata una schermata vuota. Ad esempio, nel seguente URL della console, us-west-2 è l'endpoint specificato, ma us-west-1 è la Regione AWS specificata:
```
https://us-west-2.console.aws.amazon.com/systems-manager/session-manager/sessions?region=us-west-1
```
Soluzione C: il nodo gestito si connette a Systems Manager tramite endpoint VPC e Session Manager le tue preferenze scrivono l'output della sessione su un bucket Amazon S3 o un gruppo di log CloudWatch Amazon Logs, ma nel VPC non esiste un endpoint gateway logs o s3 un endpoint di interfaccia. Un endpoint s3 nel formato com.amazonaws.region.s3 è necessario se i nodi gestiti si connettono a Systems Manager utilizzando gli endpoint VPC e le preferenze Session Manager scrivono l'output di sessione in un bucket Amazon S3. In alternativa, com.amazonaws.region.logsè necessario un logs endpoint in questo formato se i nodi gestiti si connettono a Systems Manager utilizzando endpoint VPC e le Session Manager preferenze scrivono l'output della sessione in CloudWatch un gruppo di log Logs. Per ulteriori informazioni, consulta Creazione degli endpoint VPC per Systems Manager.
Soluzione D: il gruppo di log o il bucket Amazon S3 specificato nelle preferenze di sessione è stato eliminato. Per risolvere questo problema, aggiornare le preferenze di sessione con un gruppo di log valido o un bucket S3.
Soluzione E: il gruppo di log o il bucket Amazon S3 specificato nelle preferenze di sessione non è crittografato, ma hai impostato la proprietàcloudWatchEncryptionEnabled o input s3EncryptionEnabled a true. Per risolvere questo problema, aggiorna le preferenze di sessione con un gruppo di log o un bucket Amazon S3 crittografato oppure imposta la proprietà cloudWatchEncryptionEnabled o input s3EncryptionEnabled a false. Questo scenario è applicabile solo ai clienti che creano preferenze di sessione utilizzando gli strumenti a riga di comando.

Il nodo gestito non risponde durante le sessioni di esecuzione prolungata

Problema: il nodo gestito non risponde o si arresta in modo anomalo durante una sessione di esecuzione prolungata.

Soluzione: riduci la durata di conservazione dei log SSM Agent di Session Manager.

Riduzione della durata di conservazione dei log SSM Agent delle sessioni

Individua il plug-in amazon-ssm-agent.json.template nella directory /etc/amazon/ssm/ per Linux o C:\Program Files\Amazon\SSM per Windows.
Copia il contenuto di amazon-ssm-agent.json.template in un nuovo file nella stessa directory denominata amazon-ssm-agent.json.
Ridurre il valore di default del valore SessionLogsRetentionDurationHours nella proprietà SSM e salva il file.
Riavvia l'SSM Agent.

Si è verificato un errore (InvalidDocument) durante la chiamata dell'operazione StartSession

Problema: quando avvii una sessione utilizzando la AWS CLI, visualizzi l'errore seguente.


An error occurred (InvalidDocument) when calling the StartSession operation: Document type: 'Command' is not supported. Only type: 'Session' is supported for Session Manager.

Soluzione: il documento SSM specificato per il parametro --document-name non è un documento di Sessione. Utilizza la procedura seguente per visualizzare un elenco di documenti di sessione nella AWS Management Console.

Visualizzazione di un elenco di documenti di sessione

Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.
Nel riquadro di navigazione, scegli Documenti.
Nell'elenco Categorie, scegli Documenti di sessione.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Schema documento di sessione

State Manager