翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # `AWSSupport-TroubleshootSessionManager` **説明** `AWSSupport-TroubleshootSessionManager` ランブックは、Session Manager を使用して管理対象の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに接続できない一般的な問題のトラブルシューティングに役立ちます。Session Manager は のツールです AWS Systems Manager。このランブックでは次の項目がチェックされます。 + インスタンスが実行中で、Systems Manager によって管理対象として報告されているかどうかを確認します。 + インスタンスが Systems Manager の管理対象として報告されない場合は、`AWSSupport-TroubleshootManagedInstance` ランブックを実行します。 + インスタンスにインストールされている SSM エージェントのバージョンを確認します。 + Session Manager の推奨 AWS Identity and Access Management (IAM) ポリシーを含むインスタンスプロファイルが Amazon EC2 インスタンスにアタッチされているかどうかを確認します。 + SSM エージェントログをインスタンスから収集します。 + Session Manager の設定を分析します。 + `AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2` ランブックを実行して、Session Manager、 AWS Key Management Service (AWS KMS)、Amazon Simple Storage Service (Amazon S3)、Amazon CloudWatch Logs (CloudWatch Logs) のエンドポイントへのインスタンスの接続を分析します。 **考慮事項** + ハイブリッドマネージドノードはサポートされていません。 + このランブックは、推奨のマネージド IAM ポリシーがインスタンスプロファイルにアタッチされているかどうかのみをチェックします。インスタンスプロファイルに含まれる IAM や AWS KMS 権限は分析されません。 **重要** `AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2` ランブックは [VPC Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) を使用して、ソースとサービスエンドポイント間のネットワーク接続を分析します。ソースとターゲットの間で分析が実行されるたびに課金されます。詳細については、「[Amazon VPC の料金](https://aws.amazon.com/vpc/pricing/)」を参照してください。 [このオートメーションを実行する (コンソール)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootSessionManager) **ドキュメントタイプ** オートメーション **[所有者]** Amazon **[Platforms]** (プラットフォーム) Linux、macOS、Windows **パラメータ** + AutomationAssumeRole タイプ: 文字列 説明: (オプション) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。 + InstanceId タイプ: 文字列 説明: (必須) Session Manager を使用して接続できない Amazon EC2 インスタンスの ID。 + SessionPreferenceDocument タイプ: 文字列 デフォルト: SSM-SessionManagerRunShell 説明: (オプション) セッション設定ドキュメントの名前。セッションの開始時にカスタムセッション設定ドキュメントを指定しない場合は、デフォルト値を使用してください。 **必要な IAM アクセス許可** `AutomationAssumeRole` パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。 + `ec2:CreateNetworkInsightsPath` + `ec2:DeleteNetworkInsightsAnalysis` + `ec2:DeleteNetworkInsightsPath` + `ec2:StartNetworkInsightsAnalysis` + `tiros:CreateQuery` + `ec2:DescribeAvailabilityZones` + `ec2:DescribeCustomerGateways` + `ec2:DescribeDhcpOptions` + `ec2:DescribeInstances` + `ec2:DescribeInstanceStatus` + `ec2:DescribeInternetGateways` + `ec2:DescribeManagedPrefixLists` + `ec2:DescribeNatGateways` + `ec2:DescribeNetworkAcls` + `ec2:DescribeNetworkInsightsAnalyses` + `ec2:DescribeNetworkInsightsPaths` + `ec2:DescribeNetworkInterfaces` + `ec2:DescribePrefixLists` + `ec2:DescribeRegions` + `ec2:DescribeRouteTables` + `ec2:DescribeSecurityGroups` + `ec2:DescribeSubnets` + `ec2:DescribeTransitGatewayAttachments` + `ec2:DescribeTransitGatewayConnects` + `ec2:DescribeTransitGatewayPeeringAttachments` + `ec2:DescribeTransitGatewayRouteTables` + `ec2:DescribeTransitGateways` + `ec2:DescribeTransitGatewayVpcAttachments` + `ec2:DescribeVpcAttribute` + `ec2:DescribeVpcEndpoints` + `ec2:DescribeVpcEndpointServiceConfigurations` + `ec2:DescribeVpcPeeringConnections` + `ec2:DescribeVpcs` + `ec2:DescribeVpnConnections` + `ec2:DescribeVpnGateways` + `ec2:GetManagedPrefixListEntries` + `ec2:GetTransitGatewayRouteTablePropagations` + `ec2:SearchTransitGatewayRoutes` + `elasticloadbalancing:DescribeListeners` + `elasticloadbalancing:DescribeLoadBalancerAttributes` + `elasticloadbalancing:DescribeLoadBalancers` + `elasticloadbalancing:DescribeRules` + `elasticloadbalancing:DescribeTags` + `elasticloadbalancing:DescribeTargetGroups` + `elasticloadbalancing:DescribeTargetHealth` + `iam:GetInstanceProfile` + `iam:ListAttachedRolePolicies` + `iam:ListRoles` + `iam:PassRole` + `ssm:DescribeAutomationStepExecutions` + `ssm:DescribeInstanceInformation` + `ssm:GetAutomationExecution` + `ssm:GetDocument` + `ssm:ListCommands` + `ssm:ListCommandInvocations` + `ssm:SendCommand` + `ssm:StartAutomationExecution` + `tiros:GetQueryAnswer` + `tiros:GetQueryExplanation` **ドキュメントステップ** 1. `aws:waitForAwsResourceProperty`: ターゲットインスタンスがステータスチェックに合格するまで最大 6 分間待機します。 1. `aws:executeScript`: セッション設定ドキュメントを解析します。 1. `aws:executeAwsApi`: インスタンスにアタッチされたインスタンスプロファイルの ARN を取得します。 1. `aws:executeAwsApi`: インスタンスが、Systems Manager によって管理対象として報告されているかどうかを確認します。 1. `aws:branch`: インスタンスが Systems Manager の管理どおりに実行され、レポートされているかどうかに基づいて分岐させます。 1. `aws:executeScript`: インスタンスにインストールされている SSM Agent が Session Manager をサポートしているかどうかを確認します。 1. `aws:branch`: インスタンスのプラットフォームに基づいて分岐させ、`ssm-cli` ログを収集します。 1. `aws:runCommand`: Linux または macOS インスタンスから `ssm-cli` のログ出力を収集します。 1. `aws:runCommand`: Windows インスタンスの `ssm-cli` からログ出力を収集します。 1. `aws:executeScript`:`ssm-cli` ログを解析します。 1. `aws:executeScript`: 推奨の IAM ポリシーがインスタンスプロファイルにアタッチされているかどうかをチェックします。 1. `aws:branch`: `ssm-cli` ログに基づいて `ssmmessages` エンドポイント接続を評価するかどうかを決定します。 1. `aws:executeAutomation`: インスタンスが `ssmmessages` エンドポイントに接続できるかどうかを評価します。 1. `aws:branch`: `ssm-cli` ログとセッション設定に基づいて Amazon S3 エンドポイント接続を評価するかどうかを決定します。 1. `aws:executeAutomation`: インスタンスが Amazon S3 エンドポイントに接続できるかどうかを評価します。 1. `aws:branch`: `ssm-cli`ログとセッション設定に基づいて AWS KMS エンドポイントの接続を評価するかどうかを決定します。 1. `aws:executeAutomation`: インスタンスが AWS KMS エンドポイントに接続できるかどうかを評価します。 1. `aws:branch`: `ssm-cli` ログとセッション設定に基づいて CloudWatch Logs エンドポイント接続を評価するかどうかを決定します。 1. `aws:executeAutomation`: インスタンスが CloudWatch Logs エンドポイントに接続できるかどうかを評価します。 1. `aws:executeAutomation`: `AWSSupport-TroubleshootManagedInstance` ランブックを実行します。 1. `aws:executeScript`: 前のステップの出力をコンパイルし、レポートを出力します。 **出力** + `generateReport.EvalReport` - ランブックが実行したチェックの結果をプレーンテキストで表示します。