我正在尝试使用 AWS 系统管理器访问 ec2 实例,为此我创建了一个附加到以下策略的角色。
AmazonEC2RoleforSSM
AmazonSSM自动化审批者访问
亚马逊SSMFullAccess
AmazonSSMAutomationRole
并且该角色已附加到 ec2 实例。ec2 实例列在会话管理器 ec2 实例列表中,但是当我尝试连接时,出现以下错误
实例上的 SSM 代理版本支持 Session Manager,但实例未配置为与 AWS Systems Manager 一起使用。验证附加到实例的 IAM 实例配置文件是否包含所需的权限
尝试了故障排除方法,但仍然出现以下错误,还有一件事,即使我删除了附加的角色,ec2 实例仍然显示在会话管理器实例列表中
答案1
解决此问题的主要措施是:
- 检查所有步骤会话管理器入门已完成
- 确保“arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore”策略已附加到 EC2 实例角色
- 确保 AWS Organisations 不会阻止任何所需的服务。您需要在组织中允许的关键服务包括
会话管理器的关键服务
ec2:*
ec2messages:*
ssm:*
ssmmessages:*
s3:*
- 如果您位于私有子网中,则需要确保可以通过 NAT 访问互联网,或者需要添加以下 VPC 端点(文档链接)
需要 VPC 终端节点
com.amazonaws.ap-southeast-2.s3
com.amazonaws.ap-southeast-2.ssmmessages
com.amazonaws.ap-southeast-2.ec2messages
com.amazonaws.ap-southeast-2.ssm
- 安全组需要允许您的实例和 VPC 端点从整个 VPC 在端口 443 上进行入站访问。出站访问似乎不是必需的。我不能说它完全正确,但似乎有效。