AWSSupport-SetupIPMonitoringFromVPC

Descripción

AWSSupport-SetupIPMonitoringFromVPCcrea una instancia de Amazon Elastic Compute Cloud (AmazonEC2) en la subred especificada y monitorea el objetivo IPs (IPv4oIPv6) seleccionado mediante la ejecución continua de pruebas de pingMTR, traceroute y tracetcp. Los resultados se almacenan en los CloudWatch registros de Amazon Logs y se aplican filtros de métricas para visualizar rápidamente las estadísticas de latencia y pérdida de paquetes en un CloudWatch panel de control.

Información adicional

CloudWatch Los datos de los registros se pueden utilizar para solucionar problemas de red y analizar patrones o tendencias. Además, puedes configurar CloudWatch alarmas con SNS notificaciones de Amazon cuando la pérdida de paquetes o la latencia alcancen un umbral. Los datos también se pueden usar al abrir un caso AWS Support, para ayudar a aislar un problema rápidamente y reducir el tiempo de resolución al investigar un problema de red.

nota

Para limpiar los recursos creados por AWSSupport-SetupIPMonitoringFromVPC, puede utilizar el manual de procedimientos AWSSupport-TerminateIPMonitoringFromVPC. Para obtener más información, consulte AWSSupport-TerminateIPMonitoringFromVPC.

Ejecuta esta automatización (consola)

Tipo de documento

Automatización

Propietario

Amazon

Plataformas

Linux, macOS, Windows

Parámetros

• AutomationAssumeRole

  Tipo: cadena

  Descripción: (opcional) El nombre del recurso de Amazon (ARN) del rol AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.

• CloudWatchLogGroupNamePrefix

  Tipo: cadena

  Valor predeterminado: / AWSSupport-SetupIPMonitoringFromVPC

  Descripción: (opcional) Prefijo utilizado para cada grupo de CloudWatch registros creado para los resultados de las pruebas.

• CloudWatchLogGroupRetentionInDays

  Tipo: cadena

  Valores válidos: 1 | 3 | 5 | 7 | 14 | 30 | 60 | 90 | 120 | 150 | 180 | 365 | 400 | 545 | 731 | 1827 | 3653

  Valor predeterminado: 7

  Descripción: (opcional) número de días para los que desea conservar los resultados de monitorización de red.

• InstanceType

  Tipo: cadena

  Valores válidos: t2.micro | t2.small | t2.medium | t2.large | t3.micro | t3.small | t3.medium | t3.large | t4g.micro | t4g.small | t4g.medium | t4g.large

  Valor predeterminado: t2.micro

  Descripción: (opcional) El tipo de EC2 instancia de la EC2Rescue instancia. Tamaño recomendado: t2.micro.

• SubnetId

  Tipo: cadena

  Descripción: (opcional) ID de subred para la instancia de monitor. Tenga en cuenta que si especifica una subred privada, debe asegurarse de que haya acceso a Internet para permitir que la instancia del monitor configure la prueba (es decir, instale el agente CloudWatch Logs, interactúe con Systems Manager y CloudWatch).

• T. argetIPs

  Tipo: cadena

  Descripción: (Obligatorio) Lista separada por comas de IPv4s y/o IPv6s para monitorear. No se permiten espacios. El tamaño máximo es de 255 caracteres. Tenga en cuenta que si proporciona una IP no válida, la Automation producirá un error y restaurará la configuración de prueba.

Permisos necesarios IAM

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

Se recomienda que el usuario que ejecuta la automatización tenga adjunta la política de administración de IAMA mazonSSMAutomation Role. Además, el usuario debe tener la siguiente política asociada a su cuenta de usuario, grupo o rol:

                {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:CreateRole",
                "iam:CreateInstanceProfile",
                "iam:GetRole",
                "iam:GetInstanceProfile",
                "iam:DetachRolePolicy",
                "iam:AttachRolePolicy",
                "iam:PassRole",
                "iam:AddRoleToInstanceProfile",
                "iam:RemoveRoleFromInstanceProfile",
                "iam:DeleteRole",
                "iam:DeleteInstanceProfile",
                "iam:PutRolePolicy",
                "iam:DeleteRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::
                AWS_account_ID
                :role/AWSSupport/SetupIPMonitoringFromVPC_*",
                "arn:aws:iam::
                AWS_account_ID
                :instance-profile/AWSSupport/SetupIPMonitoringFromVPC_*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "iam:DetachRolePolicy",
                "iam:AttachRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::aws:policy/service-role/AmazonSSMManagedInstanceCore"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "cloudwatch:DeleteDashboards"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeSubnets",
                "ec2:DescribeInstanceTypes",
                "ec2:RunInstances",
                "ec2:TerminateInstances",
                "ec2:DescribeInstanceStatus"
                "ec2:CreateTags",
                "ec2:AssignIpv6Addresses",
                "ec2:DescribeTags",
                "ec2:DescribeInstances",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ssm:GetParameter",
                "ssm:SendCommand",
                "ssm:ListCommands",
                "ssm:ListCommandInvocations",
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}
            

Pasos de documentos

1. aws:executeAwsApi: describe la subred proporcionada.

2. aws:branch- evalúe la argetIPs entrada T.

   (IPv6) Si T argetIPs contiene unIPv6:

   aws:assertAwsResourceProperty- compruebe que la subred proporcionada tenga un IPv6 grupo asociado

3. aws:executeScript: obtiene la arquitectura del tipo de instancia y la ruta de parámetros públicos de la versión más reciente de Amazon Linux 2 AMI.

4. aws:executeAwsApi: obtiene la versión más reciente de Amazon Linux 2 AMI en Parameter Store.

5. aws:executeAwsApi- cree un grupo de seguridad para la prueba en la subred. VPC

   (Limpieza) Si la creación del grupo de seguridad falla:

   aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

6. aws:executeAwsApi: permite todo el tráfico saliente en el grupo de seguridad de la prueba.

   (Limpieza) Si la creación de la regla de salida del grupo de seguridad falla:

   aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

7. aws:executeAwsApi- crear un IAM rol para la instancia de prueba EC2

   (Limpieza) Si la creación del rol falla:

   1. aws:executeAwsApi- eliminar el IAM rol creado por la automatización, si existe.

   2. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

8. aws:executeAwsApi- adjunte la política mazonSSMManaged InstanceCore gestionada A

   (Limpieza) Si la asociación de políticas falla:

   1. aws:executeAwsApi- separe la política mazonSSMManaged InstanceCore gestionada A del rol creado por la automatización, si está adjunta.

   2. aws:executeAwsApi- eliminar el IAM rol creado por la automatización.

   3. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

9. aws:executeAwsApi- adjunte una política en línea que permita configurar las retenciones de los grupos de CloudWatch registros y crear un panel de control CloudWatch

   (Limpieza) Si la asociación de políticas insertadas falla:

   1. aws:executeAwsApi- elimine la política CloudWatch en línea del rol creado por la automatización, si se creó.

   2. aws:executeAwsApi- separe la política mazonSSMManaged InstanceCore gestionada A del rol creado por la automatización.

   3. aws:executeAwsApi- eliminar el IAM rol creado por la automatización.

   4. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

10. aws:executeAwsApi- crear un perfil de IAM instancia.

    (Limpieza) Si la creación del perfil de instancia falla:

    1. aws:executeAwsApi- elimine el perfil de IAM instancia creado por la automatización, si existe.

    2. aws:executeAwsApi- elimine la política CloudWatch en línea del rol creado por la automatización.

    3. aws:executeAwsApi- elimine la política mazonSSMManaged InstanceCore gestionada A del rol creado por la automatización.

    4. aws:executeAwsApi- eliminar el IAM rol creado por la automatización.

    5. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

11. aws:executeAwsApi- asociar el perfil de la IAM instancia al IAM rol.

    (Limpieza) Si la asociación del perfil de instancia con el rol falla:

    1. aws:executeAwsApi- eliminar el perfil de IAM instancia del rol, si está asociado.

    2. aws:executeAwsApi- eliminar el perfil de IAM instancia creado por la automatización.

    3. aws:executeAwsApi- eliminar la política CloudWatch en línea del rol creado por la automatización.

    4. aws:executeAwsApi- separe la política mazonSSMManaged InstanceCore gestionada A del rol creado por la automatización.

    5. aws:executeAwsApi- eliminar el IAM rol creado por la automatización.

    6. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

12. aws:sleep: espera a que el perfil de instancia vuelva a estar disponible.

13. aws:runInstances: permite crear la instancia de prueba en la subred especificada y con el perfil de instancia que creó anteriormente asociado.

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi- eliminar el perfil de IAM instancia del rol.

    3. aws:executeAwsApi- eliminar el perfil de IAM instancia creado por la automatización.

    4. aws:executeAwsApi- eliminar la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separe la política mazonSSMManaged InstanceCore gestionada A del rol creado por la automatización.

    6. aws:executeAwsApi- eliminar el IAM rol creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

14. aws:branch- evaluar la argetIPs entrada T.

    (IPv6) Si T argetIPs contiene unIPv6:

    aws:executeAwsApi- asigne un IPv6 a la instancia de prueba.

15. aws:waitForAwsResourceProperty: espera a que la instancia de prueba se convierta en una instancia gestionada.

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi- eliminar el perfil de IAM instancia del rol.

    3. aws:executeAwsApi- eliminar el perfil de IAM instancia creado por la automatización.

    4. aws:executeAwsApi- eliminar la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separe la política mazonSSMManaged InstanceCore gestionada A del rol creado por la automatización.

    6. aws:executeAwsApi- eliminar el IAM rol creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

16. aws:runCommand: instala los requisitos previos de la prueba:

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi- eliminar el perfil de IAM instancia del rol.

    3. aws:executeAwsApi- eliminar el perfil de IAM instancia creado por la automatización.

    4. aws:executeAwsApi- eliminar la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separe la política mazonSSMManaged InstanceCore gestionada A del rol creado por la automatización.

    6. aws:executeAwsApi- eliminar el IAM rol creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

17. aws:runCommand- valide que las direcciones IPv4 y/o IPv6 las direcciones proporcionadas IPs sean sintácticamente correctas:

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi- eliminar el perfil de IAM instancia del rol.

    3. aws:executeAwsApi- eliminar el perfil de IAM instancia creado por la automatización.

    4. aws:executeAwsApi- eliminar la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separe la política mazonSSMManaged InstanceCore gestionada A del rol creado por la automatización.

    6. aws:executeAwsApi- eliminar el IAM rol creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

18. aws:runCommand- defina la MTR prueba para cada una de las proporcionadasIPs.

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi- eliminar el perfil de IAM instancia del rol.

    3. aws:executeAwsApi- eliminar el perfil de IAM instancia creado por la automatización.

    4. aws:executeAwsApi- eliminar la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separe la política mazonSSMManaged InstanceCore gestionada A del rol creado por la automatización.

    6. aws:executeAwsApi- eliminar el IAM rol creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

19. aws:runCommand- defina la primera prueba de ping para cada una de las proporcionadasIPs.

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi- eliminar el perfil de IAM instancia del rol.

    3. aws:executeAwsApi- eliminar el perfil de IAM instancia creado por la automatización.

    4. aws:executeAwsApi- eliminar la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separe la política mazonSSMManaged InstanceCore gestionada A del rol creado por la automatización.

    6. aws:executeAwsApi- eliminar el IAM rol creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

20. aws:runCommand- defina la segunda prueba de ping para cada una de las proporcionadasIPs.

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi- eliminar el perfil de IAM instancia del rol.

    3. aws:executeAwsApi- eliminar el perfil de IAM instancia creado por la automatización.

    4. aws:executeAwsApi- eliminar la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separe la política mazonSSMManaged InstanceCore gestionada A del rol creado por la automatización.

    6. aws:executeAwsApi- eliminar el IAM rol creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

21. aws:runCommand- defina la prueba de trazabilidad para cada una de las proporcionadas. IPs

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi- eliminar el perfil de IAM instancia del rol.

    3. aws:executeAwsApi- eliminar el perfil de IAM instancia creado por la automatización.

    4. aws:executeAwsApi- eliminar la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separe la política mazonSSMManaged InstanceCore gestionada A del rol creado por la automatización.

    6. aws:executeAwsApi- eliminar el IAM rol creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

22. aws:runCommand- defina la prueba de rastreo de ruta para cada una de las proporcionadas. IPs

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi- eliminar el perfil de IAM instancia del rol.

    3. aws:executeAwsApi- eliminar el perfil de IAM instancia creado por la automatización.

    4. aws:executeAwsApi- eliminar la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separe la política mazonSSMManaged InstanceCore gestionada A del rol creado por la automatización.

    6. aws:executeAwsApi- eliminar el IAM rol creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

23. aws:runCommand- configurar CloudWatch los registros.

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi- eliminar el perfil de IAM instancia del rol.

    3. aws:executeAwsApi- eliminar el perfil de IAM instancia creado por la automatización.

    4. aws:executeAwsApi- eliminar la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separe la política mazonSSMManaged InstanceCore gestionada A del rol creado por la automatización.

    6. aws:executeAwsApi- eliminar el IAM rol creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

24. aws:runCommand: programa trabajos cron para ejecutar cada prueba cada minuto.

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi- eliminar el perfil de IAM instancia del rol.

    3. aws:executeAwsApi- eliminar el perfil de IAM instancia creado por la automatización.

    4. aws:executeAwsApi- eliminar la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separe la política mazonSSMManaged InstanceCore gestionada A del rol creado por la automatización.

    6. aws:executeAwsApi- eliminar el IAM rol creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

25. aws:sleep: espera a que las pruebas generen algunos datos.

26. aws:runCommand- establezca las retenciones de grupos de CloudWatch registros deseadas.

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi- eliminar el perfil de IAM instancia del rol.

    3. aws:executeAwsApi- eliminar el perfil de IAM instancia creado por la automatización.

    4. aws:executeAwsApi- eliminar la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separe la política mazonSSMManaged InstanceCore gestionada A del rol creado por la automatización.

    6. aws:executeAwsApi- eliminar el IAM rol creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

27. aws:runCommand- establezca los filtros de métricas del grupo de CloudWatch registros.

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi- eliminar el perfil de IAM instancia del rol.

    3. aws:executeAwsApi- eliminar el perfil de IAM instancia creado por la automatización.

    4. aws:executeAwsApi- eliminar la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separe la política mazonSSMManaged InstanceCore gestionada A del rol creado por la automatización.

    6. aws:executeAwsApi- eliminar el IAM rol creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

28. aws:runCommand- crear el CloudWatch panel de control.

    (Limpieza) Si el paso falla:

    1. aws:executeAwsApi- eliminar el CloudWatch panel de control, si existe.

    2. aws:changeInstanceState: termina la instancia de prueba.

    3. aws:executeAwsApi- eliminar el perfil de IAM instancia del rol.

    4. aws:executeAwsApi- eliminar el perfil de IAM instancia creado por la automatización.

    5. aws:executeAwsApi- eliminar la política CloudWatch en línea del rol creado por la automatización.

    6. aws:executeAwsApi- separe la política mazonSSMManaged InstanceCore gestionada A del rol creado por la automatización.

    7. aws:executeAwsApi- eliminar el IAM rol creado por la automatización.

    8. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

Salidas

createCloudWatchDashboards.Output: el del panel URL de control. CloudWatch

createManagedInstance. InstanceIds - el ID de la instancia de prueba.