Вопросы Теги

Системный менеджер AWS: убедитесь, что профиль экземпляра IAM, прикрепленный к экземпляру, включает необходимые разрешения

Я пытаюсь получить доступ к экземпляру ec2 с помощью системного менеджера AWS, для этого я создал роль, привязанную к следующим политикам.

  1. AmazonEC2RoleforSSM

  2. AmazonSSMAutomationApproverAccess

  3. AmazonSSMFullAccess

  4. AmazonSSMAutomationRole

И роль прикреплена к инстансам ec2. Экземпляр ec2 указан в списке экземпляров диспетчера сеансов ec2, однако, когда я пытаюсь подключиться, я получаю следующую ошибку

: версия агента SSM на экземпляре поддерживает диспетчер сеансов, но экземпляр не настроен для использования с AWS Systems Manager. Убедитесь, что профиль экземпляра IAM, прикрепленный к экземпляру, включает необходимые разрешения

Пробовал методы устранения неполадок, но по-прежнему получаю следующую ошибку и еще кое-что, даже если я удалил прикрепленную роль, экземпляр ec2 все еще отображается в списке экземпляров диспетчера сеансов

0
задан 4 September 2019 в 03:52
1 ответ

Основные действия, которые необходимо сделать для решения этой проблемы:

  • Проверить, что все шаги в Session Manager Getting Started были выполнены.
  • Убедитесь, что политика "arn: aws: iam :: aws:" Политика / AmazonSSMManagedInstanceCore "привязана к роли инстанса EC2
  • . Убедитесь, что AWS Organizations не блокирует какие-либо из необходимых сервисов. Ключевыми службами, которые необходимо разрешить в организациях, являются

Ключевые службы для Session Manager 

ec2:*
ec2messages:*
ssm:*
ssmmessages:*
s3:*
  • Если вы находитесь в частной подсети, вам необходимо убедиться, что вы можете получить доступ к Интернету через NAT, или вам необходимо добавить следующие конечные точки VPC ( ссылка на документы )

Требуются конечные точки VPC 

com.amazonaws.ap-southeast-2.s3
com.amazonaws.ap-southeast-2.ssmmessages
com.amazonaws.ap-southeast-2.ec2messages
com.amazonaws.ap-southeast-2.ssm
  • Группы безопасности должны разрешить вашему экземпляру и конечным точкам VPC входящий доступ через порт 443 со всего вашего VPC. Исходящий, похоже, не требуется. Не могу сказать, что это точно, но вроде работает.
0
ответ дан 24 March 2020 в 21:44

Теги

Похожие вопросы