AWSSupport-SetupIPMonitoringFromVPC - AWS Systems Manager Guide de référence du manuel d'automatisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSSupport-SetupIPMonitoringFromVPC

Description

AWSSupport-SetupIPMonitoringFromVPCcrée une instance Amazon Elastic Compute Cloud (Amazon EC2) dans le sous-réseau spécifié et surveille les adresses IP cibles sélectionnées (IPv4 ou IPv6) en exécutant en permanence des tests ping, MTR, traceroute et tracetcp. Les résultats sont stockés dans les CloudWatch journaux Amazon Logs et des filtres métriques sont appliqués pour visualiser rapidement les statistiques de latence et de perte de paquets dans un CloudWatch tableau de bord.

Informations supplémentaires

Les données CloudWatch des journaux peuvent être utilisées pour le dépannage du réseau et l'analyse des modèles/tendances. En outre, vous pouvez configurer des CloudWatch alarmes avec les notifications Amazon SNS lorsque la perte de paquets et/ou la latence atteignent un seuil. Les données peuvent également être utilisées lors de l'ouverture d'un dossier AWS Support, afin d'isoler rapidement un problème et de réduire le temps de résolution lors de l'enquête sur un problème réseau.

Note

Pour nettoyer les ressources créées parAWSSupport-SetupIPMonitoringFromVPC, vous pouvez utiliser le runbookAWSSupport-TerminateIPMonitoringFromVPC. Pour plus d’informations, consultez AWSSupport-TerminateIPMonitoringFromVPC.

Exécuter cette automatisation (console)

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

LinuxmacOS, Windows

Paramètres

  • AutomationAssumeRole

    Type : chaîne

    Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

  • CloudWatchLogGroupNamePrefix

    Type : chaîne

    Par défaut :/AWSSupport-SetupIPMonitoringFromVPC

    Description : (Facultatif) Préfixe utilisé pour chaque groupe de CloudWatch journaux créé pour les résultats du test.

  • CloudWatchLogGroupRetentionInDays

    Type : chaîne

    Valeurs valides : 1 | 3 | 5 | 7 | 14 | 30 | 60 | 90 | 120 | 150 | 180 | 365 | 400 | 545 | 731 | 1827 | 3653

    Valeur par défaut : 7

    Description : (Facultatif) nombre de jours pendant lesquels vous souhaitez conserver les résultats de la surveillance du réseau.

  • InstanceType

    Type : chaîne

    Valeurs valides : t2.micro | t2.small | t2.medium | t2.large | t3.micro | t3.small | t3.medium | t3.large | t4g.micro | t4g.small | t4g.medium | t4g.large

    Par défaut : t2.micro

    Description : (Facultatif) type d'instance EC2 pour l'instance EC2Rescue. Taille recommandée : t2.micro.

  • SubnetId

    Type : chaîne

    Description : (Obligatoire) ID de sous-réseau pour l'instance de surveillance. Sachez que si vous spécifiez un sous-réseau privé, vous devez vous assurer qu'il existe un accès Internet pour permettre à l'instance de surveillance de configurer le test (c'est-à-dire d'installer l'agent CloudWatch Logs, d'interagir avec Systems Manager et CloudWatch).

  • TargetIPs

    Type : chaîne

    Description : (Obligatoire) liste séparée par des virgules des adresses IPv4 et/ou IPv6 à surveiller. Les espaces ne sont pas autorisés. La taille maximale est de 255 caractères. Sachez que si vous fournissez une adresse IP non valide, l'automatisation échoue et restaure la configuration du test.

Autorisations IAM requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

Il est recommandé que l'utilisateur qui exécute l'automatisation dispose de la politique gérée par AmazonSSM AutomationRole IAM attachée. En outre, l'utilisateur doit disposer de la stratégie suivante associée à son compte utilisateur, groupe ou rôle :

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "iam:CreateRole", "iam:CreateInstanceProfile", "iam:GetRole", "iam:GetInstanceProfile", "iam:DetachRolePolicy", "iam:AttachRolePolicy", "iam:PassRole", "iam:AddRoleToInstanceProfile", "iam:RemoveRoleFromInstanceProfile", "iam:DeleteRole", "iam:DeleteInstanceProfile", "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": [ "arn:aws:iam:: AWS_account_ID :role/AWSSupport/SetupIPMonitoringFromVPC_*", "arn:aws:iam:: AWS_account_ID :instance-profile/AWSSupport/SetupIPMonitoringFromVPC_*" ], "Effect": "Allow" }, { "Action": [ "iam:DetachRolePolicy", "iam:AttachRolePolicy" ], "Resource": [ "arn:aws:iam::aws:policy/service-role/AmazonSSMManagedInstanceCore" ], "Effect": "Allow" }, { "Action": [ "cloudwatch:DeleteDashboards" ], "Resource": [ "*" ], "Effect": "Allow" }, { "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "ec2:DescribeSubnets", "ec2:DescribeInstanceTypes", "ec2:RunInstances", "ec2:TerminateInstances", "ec2:DescribeInstanceStatus" "ec2:CreateTags", "ec2:AssignIpv6Addresses", "ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeSecurityGroups" ], "Resource": [ "*" ], "Effect": "Allow" }, { "Action": [ "ssm:GetParameter", "ssm:SendCommand", "ssm:ListCommands", "ssm:ListCommandInvocations", ], "Resource": [ "*" ], "Effect": "Allow" } ] }

Étapes de document

  1. aws:executeAwsApi- décrivez le sous-réseau fourni.

  2. aws:branch- évaluer l'entrée TargeTips.

    (IPv6) Si TargetIPs contient un IPv6 :

    aws:assertAwsResourceProperty- vérifiez qu'un pool IPv6 est associé au sous-réseau fourni

  3. aws:executeScript- obtenez l'architecture du type d'instance et le chemin des paramètres publics pour la dernière version d'Amazon Linux 2AMI.

  4. aws:executeAwsApi- procurez-vous la dernière version d'Amazon Linux 2 AMI sur Parameter Store.

  5. aws:executeAwsApi- créez un groupe de sécurité pour le test dans le VPC du sous-réseau.

    (Nettoyage) Si la création du groupe de sécurité échoue :

    aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

  6. aws:executeAwsApi- autoriser tout le trafic sortant dans le groupe de sécurité de test.

    (Nettoyage) Si la création de la règle de sortie du groupe de sécurité échoue :

    aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

  7. aws:executeAwsApi- crée un rôle IAM pour l'instance EC2 de test

    (Nettoyage) Si la création du rôle échoue :

    1. aws:executeAwsApi- supprimez le rôle IAM créé par l'automatisation, s'il existe.

    2. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

  8. aws:executeAwsApi- joindre la politique gérée par AmazonSSM ManagedInstanceCore

    (Nettoyage) Si l'attachement de la stratégie échoue :

    1. aws:executeAwsApi- détache la politique ManagedInstanceCore gérée par AmazonSSM du rôle créé par l'automatisation, si elle est attachée.

    2. aws:executeAwsApi- supprimez le rôle IAM créé par l'automatisation.

    3. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

  9. aws:executeAwsApi- joindre une politique en ligne pour permettre de définir les rétentions des groupes de CloudWatch journaux et de créer un tableau de bord CloudWatch

    (Nettoyage) Si l'attachement de la stratégie en ligne échoue :

    1. aws:executeAwsApi- supprimez la politique CloudWatch en ligne du rôle créé par l'automatisation, s'il a été créé.

    2. aws:executeAwsApi- détache la politique ManagedInstanceCore gérée par AmazonSSM du rôle créé par l'automatisation.

    3. aws:executeAwsApi- supprimez le rôle IAM créé par l'automatisation.

    4. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

  10. aws:executeAwsApi- créer un profil d'instance IAM.

    (Nettoyage) Si la création du profil d'instance échoue :

    1. aws:executeAwsApi- supprimez le profil d'instance IAM créé par l'automatisation, s'il existe.

    2. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    3. aws:executeAwsApi- supprimez la politique ManagedInstanceCore gérée par AmazonSSM du rôle créé par l'automatisation.

    4. aws:executeAwsApi- supprimez le rôle IAM créé par l'automatisation.

    5. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

  11. aws:executeAwsApi- associe le profil d'instance IAM au rôle IAM.

    (Nettoyage) Si l'association du profil d'instance et du rôle échoue :

    1. aws:executeAwsApi- supprime le profil d'instance IAM du rôle, s'il est associé.

    2. aws:executeAwsApi- supprimez le profil d'instance IAM créé par l'automatisation.

    3. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    4. aws:executeAwsApi- détache la politique ManagedInstanceCore gérée par AmazonSSM du rôle créé par l'automatisation.

    5. aws:executeAwsApi- supprimez le rôle IAM créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

  12. aws:sleep- attendez que le profil d'instance soit disponible.

  13. aws:runInstances- crée l'instance de test dans le sous-réseau spécifié, en y attachant le profil d'instance créé précédemment.

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'instance IAM du rôle.

    3. aws:executeAwsApi- supprimez le profil d'instance IAM créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique ManagedInstanceCore gérée par AmazonSSM du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le rôle IAM créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

  14. aws:branch- évaluer l'entrée TargeTips.

    (IPv6) Si TargetIPs contient un IPv6 :

    aws:executeAwsApi- attribuer un IPv6 à l'instance de test.

  15. aws:waitForAwsResourceProperty- attendez que l'instance de test devienne une instance gérée.

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'instance IAM du rôle.

    3. aws:executeAwsApi- supprimez le profil d'instance IAM créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique ManagedInstanceCore gérée par AmazonSSM du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le rôle IAM créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

  16. aws:runCommand- installer les prérequis de test :

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'instance IAM du rôle.

    3. aws:executeAwsApi- supprimez le profil d'instance IAM créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique ManagedInstanceCore gérée par AmazonSSM du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le rôle IAM créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

  17. aws:runCommand- vérifiez que les adresses IP fournies sont syntaxiquement correctes (IPv4 et/ou IPv6) :

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'instance IAM du rôle.

    3. aws:executeAwsApi- supprimez le profil d'instance IAM créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique ManagedInstanceCore gérée par AmazonSSM du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le rôle IAM créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

  18. aws:runCommand- définissez le test MTR pour chacune des adresses IP fournies.

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'instance IAM du rôle.

    3. aws:executeAwsApi- supprimez le profil d'instance IAM créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique ManagedInstanceCore gérée par AmazonSSM du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le rôle IAM créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

  19. aws:runCommand- définissez le premier test de ping pour chacune des adresses IP fournies.

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'instance IAM du rôle.

    3. aws:executeAwsApi- supprimez le profil d'instance IAM créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique ManagedInstanceCore gérée par AmazonSSM du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le rôle IAM créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

  20. aws:runCommand- définissez le deuxième test de ping pour chacune des adresses IP fournies.

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'instance IAM du rôle.

    3. aws:executeAwsApi- supprimez le profil d'instance IAM créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique ManagedInstanceCore gérée par AmazonSSM du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le rôle IAM créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

  21. aws:runCommand- définissez le test de tracepath pour chacune des adresses IP fournies.

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'instance IAM du rôle.

    3. aws:executeAwsApi- supprimez le profil d'instance IAM créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique ManagedInstanceCore gérée par AmazonSSM du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le rôle IAM créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

  22. aws:runCommand- définissez le test traceroute pour chacune des adresses IP fournies.

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'instance IAM du rôle.

    3. aws:executeAwsApi- supprimez le profil d'instance IAM créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique ManagedInstanceCore gérée par AmazonSSM du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le rôle IAM créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

  23. aws:runCommand- configurez CloudWatch les journaux.

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'instance IAM du rôle.

    3. aws:executeAwsApi- supprimez le profil d'instance IAM créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique ManagedInstanceCore gérée par AmazonSSM du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le rôle IAM créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

  24. aws:runCommand- programmez des cronjobs pour exécuter chaque test toutes les minutes.

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'instance IAM du rôle.

    3. aws:executeAwsApi- supprimez le profil d'instance IAM créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique ManagedInstanceCore gérée par AmazonSSM du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le rôle IAM créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

  25. aws:sleep- attendez que les tests génèrent des données.

  26. aws:runCommand- définissez les rétentions de groupes de CloudWatch journaux souhaitées.

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'instance IAM du rôle.

    3. aws:executeAwsApi- supprimez le profil d'instance IAM créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique ManagedInstanceCore gérée par AmazonSSM du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le rôle IAM créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

  27. aws:runCommand- définissez les filtres métriques des groupes de CloudWatch logs.

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'instance IAM du rôle.

    3. aws:executeAwsApi- supprimez le profil d'instance IAM créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique ManagedInstanceCore gérée par AmazonSSM du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le rôle IAM créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

  28. aws:runCommand- créer le CloudWatch tableau de bord.

    (Nettoyage) Si l'étape échoue :

    1. aws:executeAwsApi- supprimez le CloudWatch tableau de bord, s'il existe.

    2. aws:changeInstanceState- arrête l'instance de test.

    3. aws:executeAwsApi- supprime le profil d'instance IAM du rôle.

    4. aws:executeAwsApi- supprimez le profil d'instance IAM créé par l'automatisation.

    5. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    6. aws:executeAwsApi- détache la politique ManagedInstanceCore gérée par AmazonSSM du rôle créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le rôle IAM créé par l'automatisation.

    8. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

Sorties

createCloudWatchDashboards.Output : URL du tableau de bord. CloudWatch

createManagedInstance. InstanceIds - l'ID de l'instance de test.