AWSSupport-SetupIPMonitoringFromVPC

Description

AWSSupport-SetupIPMonitoringFromVPCcrée une instance Amazon Elastic Compute Cloud (AmazonEC2) dans le sous-réseau spécifié et surveille la cible sélectionnée IPs (IPv4ouIPv6) en exécutant en permanence des tests pingMTR, traceroute et tracetcp. Les résultats sont stockés dans les CloudWatch journaux Amazon Logs et des filtres métriques sont appliqués pour visualiser rapidement les statistiques de latence et de perte de paquets dans un CloudWatch tableau de bord.

Informations supplémentaires

Les données CloudWatch des journaux peuvent être utilisées pour le dépannage du réseau et l'analyse des modèles/tendances. En outre, vous pouvez configurer des CloudWatch alarmes avec SNS les notifications Amazon lorsque la perte de paquets et/ou la latence atteignent un certain seuil. Les données peuvent également être utilisées lors de l'ouverture d'un dossier AWS Support, afin d'isoler rapidement un problème et de réduire le temps de résolution lors de l'enquête sur un problème réseau.

Note

Pour nettoyer les ressources créées parAWSSupport-SetupIPMonitoringFromVPC, vous pouvez utiliser le runbookAWSSupport-TerminateIPMonitoringFromVPC. Pour plus d'informations, consultez AWSSupport-TerminateIPMonitoringFromVPC.

Exécuter cette automatisation (console)

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

LinuxmacOS, Windows

Paramètres

• AutomationAssumeRole

  Type : String

  Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

• CloudWatchLogGroupNamePrefix

  Type : String

  Par défaut :/AWSSupport-SetupIPMonitoringFromVPC

  Description : (Facultatif) Préfixe utilisé pour chaque groupe de CloudWatch journaux créé pour les résultats du test.

• CloudWatchLogGroupRetentionInDays

  Type : String

  Valeurs valides : 1 | 3 | 5 | 7 | 14 | 30 | 60 | 90 | 120 | 150 | 180 | 365 | 400 | 545 | 731 | 1827 | 3653

  Valeur par défaut : 7

  Description : (Facultatif) nombre de jours pendant lesquels vous souhaitez conserver les résultats de la surveillance du réseau.

• InstanceType

  Type : String

  Valeurs valides : t2.micro | t2.small | t2.medium | t2.large | t3.micro | t3.small | t3.medium | t3.large | t4g.micro | t4g.small | t4g.medium | t4g.large

  Par défaut : t2.micro

  Description : (Facultatif) Type d'EC2instance de l'EC2Rescueinstance. Taille recommandée : t2.micro.

• SubnetId

  Type : String

  Description : (Obligatoire) ID de sous-réseau pour l'instance de surveillance. Sachez que si vous spécifiez un sous-réseau privé, vous devez vous assurer qu'il existe un accès Internet pour permettre à l'instance de surveillance de configurer le test (c'est-à-dire d'installer l'agent CloudWatch Logs, d'interagir avec Systems Manager et CloudWatch).

• T argetIPs

  Type : String

  Description : (Obligatoire) Liste séparée par des virgules de IPv4s et/ou IPv6s à surveiller. Les espaces ne sont pas autorisés. La taille maximale est de 255 caractères. Sachez que si vous fournissez une adresse IP non valide, l'automatisation échoue et restaure la configuration du test.

IAMAutorisations requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

Il est recommandé que la politique IAM gérée A Role soit attachée à l'utilisateur qui exécute l'automatisation. mazonSSMAutomation En outre, l'utilisateur doit disposer de la stratégie suivante associée à son compte utilisateur, groupe ou rôle :

                {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:CreateRole",
                "iam:CreateInstanceProfile",
                "iam:GetRole",
                "iam:GetInstanceProfile",
                "iam:DetachRolePolicy",
                "iam:AttachRolePolicy",
                "iam:PassRole",
                "iam:AddRoleToInstanceProfile",
                "iam:RemoveRoleFromInstanceProfile",
                "iam:DeleteRole",
                "iam:DeleteInstanceProfile",
                "iam:PutRolePolicy",
                "iam:DeleteRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::
                AWS_account_ID
                :role/AWSSupport/SetupIPMonitoringFromVPC_*",
                "arn:aws:iam::
                AWS_account_ID
                :instance-profile/AWSSupport/SetupIPMonitoringFromVPC_*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "iam:DetachRolePolicy",
                "iam:AttachRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::aws:policy/service-role/AmazonSSMManagedInstanceCore"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "cloudwatch:DeleteDashboards"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeSubnets",
                "ec2:DescribeInstanceTypes",
                "ec2:RunInstances",
                "ec2:TerminateInstances",
                "ec2:DescribeInstanceStatus"
                "ec2:CreateTags",
                "ec2:AssignIpv6Addresses",
                "ec2:DescribeTags",
                "ec2:DescribeInstances",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ssm:GetParameter",
                "ssm:SendCommand",
                "ssm:ListCommands",
                "ssm:ListCommandInvocations",
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}
            

Étapes de document

1. aws:executeAwsApi- décrivez le sous-réseau fourni.

2. aws:branch- évaluer l'argetIPs entrée T.

   (IPv6) Si T argetIPs contient un IPv6 :

   aws:assertAwsResourceProperty- vérifiez qu'un IPv6 pool est associé au sous-réseau fourni

3. aws:executeScript- obtenez l'architecture du type d'instance et le chemin des paramètres publics pour la dernière version d'Amazon Linux 2AMI.

4. aws:executeAwsApi- procurez-vous la dernière version d'Amazon Linux 2 AMI sur Parameter Store.

5. aws:executeAwsApi- créez un groupe de sécurité pour le test dans le sous-réseau. VPC

   (Nettoyage) Si la création du groupe de sécurité échoue :

   aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

6. aws:executeAwsApi- autoriser tout le trafic sortant dans le groupe de sécurité de test.

   (Nettoyage) Si la création de la règle de sortie du groupe de sécurité échoue :

   aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

7. aws:executeAwsApi- créer un IAM rôle pour l'EC2instance de test

   (Nettoyage) Si la création du rôle échoue :

   1. aws:executeAwsApi- supprimez le IAM rôle créé par l'automatisation, s'il existe.

   2. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

8. aws:executeAwsApi- attachez la politique mazonSSMManaged InstanceCore gérée A

   (Nettoyage) Si l'attachement de la stratégie échoue :

   1. aws:executeAwsApi- détache la politique mazonSSMManaged InstanceCore gérée A du rôle créé par l'automatisation, si elle est attachée.

   2. aws:executeAwsApi- supprimez le IAM rôle créé par l'automatisation.

   3. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

9. aws:executeAwsApi- joindre une politique en ligne pour permettre de définir les rétentions des groupes de CloudWatch journaux et de créer un tableau de bord CloudWatch

   (Nettoyage) Si l'attachement de la stratégie en ligne échoue :

   1. aws:executeAwsApi- supprimez la politique CloudWatch en ligne du rôle créé par l'automatisation, s'il a été créé.

   2. aws:executeAwsApi- détache la politique mazonSSMManaged InstanceCore gérée A du rôle créé par l'automatisation.

   3. aws:executeAwsApi- supprimez le IAM rôle créé par l'automatisation.

   4. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

10. aws:executeAwsApi- créer un profil d'IAMinstance.

    (Nettoyage) Si la création du profil d'instance échoue :

    1. aws:executeAwsApi- supprimez le profil d'IAMinstance créé par l'automatisation, s'il existe.

    2. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    3. aws:executeAwsApi- supprimez la politique mazonSSMManaged InstanceCore gérée A du rôle créé par l'automatisation.

    4. aws:executeAwsApi- supprimez le IAM rôle créé par l'automatisation.

    5. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

11. aws:executeAwsApi- associe le profil d'IAMinstance au IAM rôle.

    (Nettoyage) Si l'association du profil d'instance et du rôle échoue :

    1. aws:executeAwsApi- supprime le profil d'IAMinstance du rôle, s'il est associé.

    2. aws:executeAwsApi- supprime le profil d'IAMinstance créé par l'automatisation.

    3. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    4. aws:executeAwsApi- détache la politique mazonSSMManaged InstanceCore gérée A du rôle créé par l'automatisation.

    5. aws:executeAwsApi- supprimez le IAM rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

12. aws:sleep- attendez que le profil d'instance soit disponible.

13. aws:runInstances- crée l'instance de test dans le sous-réseau spécifié, en y attachant le profil d'instance créé précédemment.

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'IAMinstance du rôle.

    3. aws:executeAwsApi- supprime le profil d'IAMinstance créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique mazonSSMManaged InstanceCore gérée A du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le IAM rôle créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

14. aws:branch- évaluer l'argetIPs entrée T.

    (IPv6) Si T argetIPs contient un IPv6 :

    aws:executeAwsApi- attribuer un IPv6 à l'instance de test.

15. aws:waitForAwsResourceProperty- attendez que l'instance de test devienne une instance gérée.

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'IAMinstance du rôle.

    3. aws:executeAwsApi- supprime le profil d'IAMinstance créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique mazonSSMManaged InstanceCore gérée A du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le IAM rôle créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

16. aws:runCommand- installer les prérequis de test :

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'IAMinstance du rôle.

    3. aws:executeAwsApi- supprime le profil d'IAMinstance créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique mazonSSMManaged InstanceCore gérée A du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le IAM rôle créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

17. aws:runCommand- valider que la syntaxe IPv4 et/ou IPv6 les adresses fournies IPs sont correctes :

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'IAMinstance du rôle.

    3. aws:executeAwsApi- supprime le profil d'IAMinstance créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique mazonSSMManaged InstanceCore gérée A du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le IAM rôle créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

18. aws:runCommand- définissez le MTR test pour chacun des tests fournisIPs.

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'IAMinstance du rôle.

    3. aws:executeAwsApi- supprime le profil d'IAMinstance créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique mazonSSMManaged InstanceCore gérée A du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le IAM rôle créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

19. aws:runCommand- définissez le premier test de ping pour chacun des tests fournisIPs.

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'IAMinstance du rôle.

    3. aws:executeAwsApi- supprime le profil d'IAMinstance créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique mazonSSMManaged InstanceCore gérée A du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le IAM rôle créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

20. aws:runCommand- définissez le deuxième test de ping pour chacun des tests fournisIPs.

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'IAMinstance du rôle.

    3. aws:executeAwsApi- supprime le profil d'IAMinstance créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique mazonSSMManaged InstanceCore gérée A du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le IAM rôle créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

21. aws:runCommand- définissez le test Tracepath pour chacun des tests fournis. IPs

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'IAMinstance du rôle.

    3. aws:executeAwsApi- supprime le profil d'IAMinstance créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique mazonSSMManaged InstanceCore gérée A du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le IAM rôle créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

22. aws:runCommand- définissez le test traceroute pour chacun des tests fournis. IPs

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'IAMinstance du rôle.

    3. aws:executeAwsApi- supprime le profil d'IAMinstance créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique mazonSSMManaged InstanceCore gérée A du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le IAM rôle créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

23. aws:runCommand- configurez CloudWatch les journaux.

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'IAMinstance du rôle.

    3. aws:executeAwsApi- supprime le profil d'IAMinstance créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique mazonSSMManaged InstanceCore gérée A du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le IAM rôle créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

24. aws:runCommand- programmez des cronjobs pour exécuter chaque test toutes les minutes.

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'IAMinstance du rôle.

    3. aws:executeAwsApi- supprime le profil d'IAMinstance créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique mazonSSMManaged InstanceCore gérée A du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le IAM rôle créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

25. aws:sleep- attendez que les tests génèrent des données.

26. aws:runCommand- définissez les rétentions de groupes de CloudWatch journaux souhaitées.

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'IAMinstance du rôle.

    3. aws:executeAwsApi- supprime le profil d'IAMinstance créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique mazonSSMManaged InstanceCore gérée A du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le IAM rôle créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

27. aws:runCommand- définissez les filtres métriques des groupes de CloudWatch logs.

    (Nettoyage) Si l'étape échoue :

    1. aws:changeInstanceState- arrête l'instance de test.

    2. aws:executeAwsApi- supprime le profil d'IAMinstance du rôle.

    3. aws:executeAwsApi- supprime le profil d'IAMinstance créé par l'automatisation.

    4. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    5. aws:executeAwsApi- détache la politique mazonSSMManaged InstanceCore gérée A du rôle créé par l'automatisation.

    6. aws:executeAwsApi- supprimez le IAM rôle créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

28. aws:runCommand- créer le CloudWatch tableau de bord.

    (Nettoyage) Si l'étape échoue :

    1. aws:executeAwsApi- supprimez le CloudWatch tableau de bord, s'il existe.

    2. aws:changeInstanceState- arrête l'instance de test.

    3. aws:executeAwsApi- supprime le profil d'IAMinstance du rôle.

    4. aws:executeAwsApi- supprime le profil d'IAMinstance créé par l'automatisation.

    5. aws:executeAwsApi- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.

    6. aws:executeAwsApi- détache la politique mazonSSMManaged InstanceCore gérée A du rôle créé par l'automatisation.

    7. aws:executeAwsApi- supprimez le IAM rôle créé par l'automatisation.

    8. aws:executeAwsApi- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.

Sorties

createCloudWatchDashboards.Output : celui du tableau URL de bord. CloudWatch

createManagedInstance. InstanceIds - l'ID de l'instance de test.