Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWSSupport-TroubleshootManagedInstance
Beschreibung
Das AWSSupport-TroubleshootManagedInstance Runbook hilft Ihnen zu ermitteln, warum eine Amazon Elastic Compute Cloud (Amazon EC2)-Instance nicht als von verwaltet meldetAWS Systems Manager. Dieses Runbook überprüft die VPC-Konfiguration für die Instance, einschließlich Sicherheitsgruppenregeln, VPC-Endpunkte, Netzwerkzugriffskontrolllisten (ACL)-Regeln und Routing-Tabellen. Es bestätigt auch, dass der Instance ein AWS Identity and Access Management (IAM)-Instance-Profil angefügt ist, das die erforderlichen Berechtigungen enthält.
Wichtig
Dieses Automatisierungs-Runbook wertet keine IPv6-Regeln aus.
Ausführen dieser Automatisierung (Konsole)
Dokumenttyp
Automatisierung
Eigentümer
Amazon
Plattformen
Linux, macOS, Windows
Parameter
-
AutomationAssumeRole
Typ: Zeichenfolge
Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM)-Rolle, mit der Systems Manager Automation die Aktionen in Ihrem Namen ausführen kann. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.
-
InstanceId
Typ: Zeichenfolge
Beschreibung: (Erforderlich) Die ID der Amazon EC2-Instance, die nicht wie von Systems Manager verwaltet meldet.
Erforderliche IAM-Berechtigungen
Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.
-
ssm:DescribeAutomationExecutions -
ssm:DescribeAutomationStepExecutions -
ssm:DescribeInstanceInformation -
ssm:DescribeInstanceProperties -
ssm:StartAutomationExecution -
ssm:GetAutomationExecution -
ssm:GetDocument -
ssm:ListDocuments -
ssm:StartAutomationExecution -
iam:ListRoles -
iam:GetInstanceProfile -
iam:ListAttachedRolePolicies -
ec2:DescribeInstances -
ec2:DescribeNetworkAcls -
ec2:DescribeRouteTables -
ec2:DescribeSecurityGroups -
ec2:DescribeVpcEndpoints
Dokumentschritte
-
aws:executeScript– Sammelt diePingStatusder Instance. -
aws:branch– Verzweigungen, die darauf basieren, ob die Instance bereits als von Systems Manager verwaltet gemeldet wird. -
aws:executeAwsApi– Sammelt Details zur Instance, einschließlich der VPC-Konfiguration. -
aws:executeScript– Falls zutreffend, sammelt zusätzliche Details zu VPC-Endpunkten, die für die Verwendung mit Systems Manager bereitgestellt wurden, und bestätigt, dass die an den VPC-Endpunkt angehängten Sicherheitsgruppen eingehenden Datenverkehr auf TCP-Port 443 von der Instance zulassen. -
aws:executeScript– Prüft, ob die Routing-Tabelle Datenverkehr zum VPC-Endpunkt oder zu öffentlichen Systems Manager-Endpunkten zulässt. -
aws:executeScript– Prüft, ob die Netzwerk-ACL-Regeln Datenverkehr zum VPC-Endpunkt oder zu öffentlichen Systems Manager-Endpunkten zulassen. -
aws:executeScript– Prüft, ob ausgehender Datenverkehr zum VPC-Endpunkt oder zu öffentlichen Systems Manager-Endpunkten von der Sicherheitsgruppe zugelassen wird, die der Instance zugeordnet ist. -
aws:executeScript– Prüft, ob das an die Instance angefügte Instance-Profil eine verwaltete Richtlinie enthält, die die erforderlichen Berechtigungen bereitstellt. -
aws:branch– Verzweigungen, die auf dem Betriebssystem der Instance basieren. -
aws:executeScript– Bietet Verweis auf dasssmagent-toolkit-linuxShell-Skript. -
aws:executeScript– Bietet Verweis auf dasssmagent-toolkit-windowsPowerShell Skript. -
aws:executeScript– Generiert die endgültige Ausgabe für die Automatisierung. -
aws:executeScript– Wenn derPingStatusderOnlineInstance ist, gibt zurück, dass die Instance bereits von Systems Manager verwaltet wird.
