As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # `AWSSupport-TroubleshootSessionManager` **Descrição** O runbook `AWSSupport-TroubleshootSessionManager` ajuda a solucionar problemas comuns que impedem a conexão com instâncias gerenciadas do Amazon Elastic Compute Cloud (Amazon EC2) usando o Session Manager. O Gerenciador de Sessões é uma ferramenta em AWS Systems Manager. Este runbook verifica o seguinte: + Verifica se a instância está sendo executada e reportada como gerenciada pelo Systems Manager. + Executa o runbook `AWSSupport-TroubleshootManagedInstance` se a instância não estiver reportando como gerenciada pelo Systems Manager. + Verifica a versão do SSM Agent instalado na instância. + Verifica se um perfil de instância contendo uma política recomendada do AWS Identity and Access Management (IAM) para o Session Manager está anexado à instância do Amazon EC2. + Coleta os logs do SSM Agent da instância. + Analisa suas preferências do Session Manager. + Executa o `AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2` runbook para analisar a conectividade da instância com os endpoints do Session Manager, AWS Key Management Service (AWS KMS), Amazon Simple Storage Service (Amazon S3) e Amazon CloudWatch Logs (Logs). CloudWatch **Considerações** + Não há suporte para nós gerenciados híbridos. + Esse runbook só verifica se uma política do IAM gerenciada recomendada está anexada ao perfil de instância. Ele não analisa o IAM nem as permissões do AWS KMS contidas no perfil de instância. **Importante** O runbook `AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2` usa o [VPC Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) para analisar a conectividade de rede entre uma fonte e um endpoint de serviço. Você é cobrado por análise executada entre a origem e o destino. Para obter mais detalhes, consulte [Preço da Amazon VPC](https://aws.amazon.com/vpc/pricing/). [Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootSessionManager) **Tipo de documento** Automação **Proprietário** Amazon **Plataformas** Linux, macOS, Windows **Parâmetros** + AutomationAssumeRole Tipo: String Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook. + InstanceId Tipo: string Descrição: (obrigatório) O ID da instância do Amazon EC2 à qual não consegue se conectar com o Session Manager. + SessionPreferenceDocument Tipo: string Padrão: SSM- SessionManagerRunShell Descrição: (opcional) O nome do seu documento de preferências de sessão. Se não for especificado um documento de preferências de sessão personalizado ao iniciar sessões, use o valor padrão. **Permissões obrigatórias do IAM** O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito. + `ec2:CreateNetworkInsightsPath` + `ec2:DeleteNetworkInsightsAnalysis` + `ec2:DeleteNetworkInsightsPath` + `ec2:StartNetworkInsightsAnalysis` + `tiros:CreateQuery` + `ec2:DescribeAvailabilityZones` + `ec2:DescribeCustomerGateways` + `ec2:DescribeDhcpOptions` + `ec2:DescribeInstances` + `ec2:DescribeInstanceStatus` + `ec2:DescribeInternetGateways` + `ec2:DescribeManagedPrefixLists` + `ec2:DescribeNatGateways` + `ec2:DescribeNetworkAcls` + `ec2:DescribeNetworkInsightsAnalyses` + `ec2:DescribeNetworkInsightsPaths` + `ec2:DescribeNetworkInterfaces` + `ec2:DescribePrefixLists` + `ec2:DescribeRegions` + `ec2:DescribeRouteTables` + `ec2:DescribeSecurityGroups` + `ec2:DescribeSubnets` + `ec2:DescribeTransitGatewayAttachments` + `ec2:DescribeTransitGatewayConnects` + `ec2:DescribeTransitGatewayPeeringAttachments` + `ec2:DescribeTransitGatewayRouteTables` + `ec2:DescribeTransitGateways` + `ec2:DescribeTransitGatewayVpcAttachments` + `ec2:DescribeVpcAttribute` + `ec2:DescribeVpcEndpoints` + `ec2:DescribeVpcEndpointServiceConfigurations` + `ec2:DescribeVpcPeeringConnections` + `ec2:DescribeVpcs` + `ec2:DescribeVpnConnections` + `ec2:DescribeVpnGateways` + `ec2:GetManagedPrefixListEntries` + `ec2:GetTransitGatewayRouteTablePropagations` + `ec2:SearchTransitGatewayRoutes` + `elasticloadbalancing:DescribeListeners` + `elasticloadbalancing:DescribeLoadBalancerAttributes` + `elasticloadbalancing:DescribeLoadBalancers` + `elasticloadbalancing:DescribeRules` + `elasticloadbalancing:DescribeTags` + `elasticloadbalancing:DescribeTargetGroups` + `elasticloadbalancing:DescribeTargetHealth` + `iam:GetInstanceProfile` + `iam:ListAttachedRolePolicies` + `iam:ListRoles` + `iam:PassRole` + `ssm:DescribeAutomationStepExecutions` + `ssm:DescribeInstanceInformation` + `ssm:GetAutomationExecution` + `ssm:GetDocument` + `ssm:ListCommands` + `ssm:ListCommandInvocations` + `ssm:SendCommand` + `ssm:StartAutomationExecution` + `tiros:GetQueryAnswer` + `tiros:GetQueryExplanation` **Etapas do documento** 1. `aws:waitForAwsResourceProperty`: espera até 6 minutos para que sua instância de destino passe pelas verificações de status. 1. `aws:executeScript`: analisa o documento de preferência da sessão. 1. `aws:executeAwsApi`: obtém o ARN do perfil de instância anexado à sua instância. 1. `aws:executeAwsApi`: verifica se a instância está sendo executada e reportada como gerenciada pelo Systems Manager. 1. `aws:branch`: ramifica com base no fato de sua instância estar reportando como sendo gerenciada pelo Systems Manager. 1. `aws:executeScript`: verifica se o SSM agent instalado na sua instância é compatível com o Session Manager. 1. `aws:branch`: ramifica com base na plataforma da sua instância para coletar logs da `ssm-cli`. 1. `aws:runCommand`: coleta a saída de logs da `ssm-cli` de uma instância do Linux or macOS. 1. `aws:runCommand`: coleta a saída de logs da `ssm-cli` de uma instância do Windows. 1. `aws:executeScript`: analisa os logs da `ssm-cli` . 1. `aws:executeScript`: Esse runbook só verifica se uma política do IAM gerenciada recomendada está anexada ao perfil de instância. 1. `aws:branch`: determina se a conectividade do endpoint do `ssmmessages` deve ser avaliada com base nos logs da `ssm-cli`. 1. `aws:executeAutomation`: avalia se a instância pode se conectar a um endpoint do `ssmmessages`. 1. `aws:branch`: determina se a conectividade do endpoint Amazon S3 deve ser avaliada com base nos logs da `ssm-cli` e nas suas preferências de sessão. 1. `aws:executeAutomation`: avalia se a instância pode se conectar a um endpoint do Amazon S3. 1. `aws:branch`: determina se a conectividade do AWS KMS endpoint deve ser avaliada com base nos `ssm-cli` registros e nas suas preferências de sessão. 1. `aws:executeAutomation`: avalia se a instância pode se conectar a um AWS KMS endpoint. 1. `aws:branch`: determina se a conectividade do endpoint do CloudWatch Logs deve ser avaliada com base nos `ssm-cli` registros e nas suas preferências de sessão. 1. `aws:executeAutomation`: avalia se a instância pode se conectar a um endpoint do CloudWatch Logs. 1. `aws:executeAutomation`: executa o runbook `AWSSupport-TroubleshootManagedInstance`. 1. `aws:executeScript`: compila a saída das etapas anteriores e gera um relatório. **Saídas** + `generateReport.EvalReport` :Os resultados das verificações realizadas pelo runbook em texto simples.