AWSSupport-TroubleshootMWAAEnvironmentCreation

Descripción

El AWSSupport-TroubleshootMWAAEnvironmentCreation manual proporciona información para depurar los problemas de creación del entorno de Amazon Managed Workflows para Apache Airflow (AmazonMWAA) y realizar comprobaciones junto con los motivos documentados haciendo todo lo posible para ayudar a identificar el error.

¿Cómo funciona?

El manual de ejecución lleva a cabo los siguientes pasos:

• Recupera los detalles del MWAA entorno de Amazon.

• Verifica los permisos de la función de ejecución.

• Comprueba si el entorno tiene permisos para usar la AWS KMS clave proporcionada para el registro y si existe el grupo de CloudWatch registros requerido.

• Analiza los registros del grupo de registros proporcionado para localizar cualquier error.

• Comprueba la configuración de la red para comprobar si el MWAA entorno de Amazon tiene acceso a los puntos de conexión necesarios.

• Genera un informe con los resultados.

Ejecuta esta automatización (consola)

Tipo de documento

Automatización

Propietario

Amazon

Plataformas

/

IAMPermisos necesarios

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

• airflow:GetEnvironment

• cloudtrail:LookupEvents

• ec2:DescribeNatGateways

• ec2:DescribeNetworkAcls

• ec2:DescribeNetworkInterfaces

• ec2:DescribeRouteTables

• ec2:DescribeSecurityGroups

• ec2:DescribeSubnets

• ec2:DescribeVpcEndpoints

• iam:GetPolicy

• iam:GetPolicyVersion

• iam:GetRolePolicy

• iam:ListAttachedRolePolicies

• iam:ListRolePolicies

• iam:SimulateCustomPolicy

• kms:GetKeyPolicy

• kms:ListAliases

• logs:DescribeLogGroups

• logs:FilterLogEvents

• s3:GetBucketAcl

• s3:GetBucketPolicyStatus

• s3:GetPublicAccessBlock

• s3control:GetPublicAccessBlock

• ssm:StartAutomationExecution

• ssm:GetAutomationExecution

Instrucciones

Siga estos pasos para configurar la automatización:

1. Navegue hasta AWSSupport-TroubleshootMWAAEnvironmentCreationSystems Manager, en Documentos.

2. Elija Execute automation (Ejecutar automatización).

3. Para los parámetros de entrada, introduzca lo siguiente:

   • AutomationAssumeRole (Opcional):

     El nombre del recurso de Amazon (ARN) de la función AWS AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que inicia este runbook.

   • EnvironmentName (Obligatorio):

     Nombre del MWAA entorno de Amazon que deseas evaluar.

   

4. Seleccione Ejecutar.

5. Se inicia la automatización.

6. Este documento realiza los siguientes pasos:

   • GetMWAAEnvironmentDetails:

     Recupera los detalles del MWAA entorno de Amazon. Si este paso no funciona, el proceso de automatización se detendrá y aparecerá comoFailed.

   • CheckIAMPermissionsOnExecutionRole:

     Verifica que la función de ejecución tenga los permisos necesarios para los SQS recursos de AmazonMWAA, Amazon S3 CloudWatch, CloudWatch Logs y Amazon. Si detecta una clave gestionada por el cliente AWS Key Management Service (AWS KMS), la automatización valida los permisos necesarios de la clave. Este paso se emplea iam:SimulateCustomPolicy API para determinar si la función de ejecución de la automatización cumple con todos los permisos necesarios.

   • CheckKMSPolicyOnKMSKey:

     Comprueba si la política de AWS KMS claves permite que el MWAA entorno de Amazon utilice la clave para cifrar CloudWatch los registros. Si la AWS KMS clave está AWS gestionada, la automatización omite esta comprobación.

   • CheckIfRequiredLogGroupsExists:

     Comprueba si existen los grupos de CloudWatch registros necesarios para el MWAA entorno de Amazon. Si no es así, la automatización CloudTrail comprueba CreateLogGroup si hay DeleteLogGroup eventos. En este paso también se comprueban los CreateLogGroup eventos.

   • BranchOnLogGroupsFindings:

     Las ramificaciones se basan en la existencia de grupos de CloudWatch registros relacionados con el MWAA entorno de Amazon. Si existe al menos un grupo de registros, la automatización lo analiza para localizar los errores. Si no hay ningún grupo de registros, la automatización omite el siguiente paso.

   • CheckForErrorsInLogGroups:

     Analiza los grupos de CloudWatch registros para localizar los errores.

   • GetRequiredEndPointsDetails:

     Recupera los puntos finales del servicio utilizados por el entorno de AmazonMWAA.

   • CheckNetworkConfiguration:

     Verifica que la configuración de red del MWAA entorno de Amazon cumpla con los requisitos, incluidas las comprobaciones de las configuraciones de grupos de seguridad, redesACLs, subredes y tablas de enrutamiento.

   • CheckEndpointsConnectivity:

     Invoca la automatización AWSSupport-ConnectivityTroubleshooter secundaria para validar la conectividad MWAA de Amazon con los puntos finales necesarios.

   • CheckS3BlockPublicAccess:

     Comprueba si el bucket de Amazon S3 del MWAA entorno de Amazon Block Public Access está activado y también revisa la configuración general de Amazon S3 Block Public Access de la cuenta.

   • GenerateReport:

     Recopila información de la automatización e imprime el resultado o la salida de cada paso.

7. Una vez completado, revise la sección de resultados para ver los resultados detallados de la ejecución:

   • Comprobación de los permisos de la función de ejecución del MWAA entorno de Amazon:

     Comprueba si la función de ejecución tiene los permisos necesarios para los SQS recursos de AmazonMWAA, Amazon S3 CloudWatch, CloudWatch Logs y Amazon. Si se detecta una AWS KMS clave gestionada por el cliente, la automatización valida los permisos necesarios de la clave.

   • Comprobación de la política AWS KMS clave MWAA del entorno de Amazon:

     Comprueba si la función de ejecución posee los permisos necesarios para los SQS recursos de AmazonMWAA, Amazon S3 CloudWatch, CloudWatch Logs y Amazon. Además, si se detecta una AWS KMS clave gestionada por el cliente, la automatización comprueba los permisos necesarios para la clave.

   • Comprobación de los grupos de CloudWatch registros del MWAA entorno de Amazon:

     Comprueba si existen los grupos de CloudWatch registros necesarios para el MWAA entorno de Amazon. Si no es así, la automatización comprueba la CloudTrail ubicación de CreateLogGroup los DeleteLogGroup eventos.

   • Comprobación de las tablas de rutas del MWAA entorno de Amazon:

     Comprueba si las tablas de VPC rutas de Amazon en el MWAA entorno de Amazon están configuradas correctamente.

   • Comprobación de los grupos de seguridad del MWAA entorno de Amazon:

     Comprueba si el MWAA entorno de Amazon y los grupos VPC de seguridad de Amazon están configurados correctamente.

   • Comprobación de la red del MWAA entorno de AmazonACLs:

     Comprueba si los grupos de VPC seguridad de Amazon en el MWAA entorno de Amazon están configurados correctamente.

   • Comprobación de las subredes MWAA del entorno Amazon:

     Verifica si las subredes del MWAA entorno de Amazon son privadas.

   • Para comprobar la conectividad de los puntos de conexión necesarios en el MWAA entorno de Amazon:

     Verifica si el MWAA entorno de Amazon puede acceder a los puntos de conexión necesarios. Para ello, la automatización invoca la automatización. AWSSupport-ConnectivityTroubleshooter

   • Comprobación del MWAA entorno de Amazon (bucket de Amazon S3):

     Comprueba si el bucket Amazon S3 del MWAA entorno de Amazon Block Public Access está activado y también revisa la configuración de Amazon S3 Block Public Access de la cuenta.

   • Al comprobar los errores de los grupos CloudWatch de registros del MWAA entorno de Amazon:

     Analiza los grupos de CloudWatch registros existentes del MWAA entorno de Amazon para localizar los errores.

   

Referencias

Automatización de Systems Manager

• Ejecuta esta automatización (consola)

• Ejecución de una automatización

• Configuración de Automatización

• Página de inicio de Support Automation Workflows