Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWSSupport-TroubleshootMWAAEnvironmentCreation
Description
Le AWSSupport-TroubleshootMWAAEnvironmentCreation
runbook fournit des informations permettant de résoudre les problèmes liés à la création de l'environnement Apache Airflow (AmazonMWAA) avec Amazon Managed Workflows par Amazon, et d'effectuer des vérifications en indiquant les raisons documentées dans le meilleur des cas afin d'identifier l'échec.
Comment fonctionne-t-il ?
Le runbook exécute les étapes suivantes :
-
Récupère les détails de l'MWAAenvironnement Amazon.
-
Vérifie les autorisations du rôle d'exécution.
-
Vérifie si l'environnement est autorisé à utiliser la AWS KMS clé fournie pour la journalisation et si le groupe de CloudWatch journaux requis existe.
-
Analyse les journaux du groupe de journaux fourni pour détecter les erreurs éventuelles.
-
Vérifie la configuration du réseau pour vérifier si l'MWAAenvironnement Amazon a accès aux points de terminaison requis.
-
Génère un rapport contenant les résultats.
Exécuter cette automatisation (console)
Type de document
Automatisation
Propriétaire
Amazon
Plateformes
/
IAMAutorisations requises
Le AutomationAssumeRole
paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
-
airflow:GetEnvironment
-
cloudtrail:LookupEvents
-
ec2:DescribeNatGateways
-
ec2:DescribeNetworkAcls
-
ec2:DescribeNetworkInterfaces
-
ec2:DescribeRouteTables
-
ec2:DescribeSecurityGroups
-
ec2:DescribeSubnets
-
ec2:DescribeVpcEndpoints
-
iam:GetPolicy
-
iam:GetPolicyVersion
-
iam:GetRolePolicy
-
iam:ListAttachedRolePolicies
-
iam:ListRolePolicies
-
iam:SimulateCustomPolicy
-
kms:GetKeyPolicy
-
kms:ListAliases
-
logs:DescribeLogGroups
-
logs:FilterLogEvents
-
s3:GetBucketAcl
-
s3:GetBucketPolicyStatus
-
s3:GetPublicAccessBlock
-
s3control:GetPublicAccessBlock
-
ssm:StartAutomationExecution
-
ssm:GetAutomationExecution
Instructions
Pour configurer l'automatisation, procédez comme suit :
-
Accédez
AWSSupport-TroubleshootMWAAEnvironmentCreation
à Systems Manager sous Documents. -
Sélectionnez Execute automation (Exécuter l'automatisation).
-
Pour les paramètres d'entrée, entrez ce qui suit :
-
AutomationAssumeRole (Facultatif) :
Le nom de ressource Amazon (ARN) du rôle AWS AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
-
EnvironmentName (Obligatoire) :
Nom de l'MWAAenvironnement Amazon que vous souhaitez évaluer.
-
-
Sélectionnez Exécuter.
-
L'automatisation démarre.
-
Le document exécute les étapes suivantes :
-
GetMWAAEnvironmentDetails:
Récupère les détails de l'MWAAenvironnement Amazon. Si cette étape échoue, le processus d'automatisation s'arrête et s'affiche comme
Failed
. -
CheckIAMPermissionsOnExecutionRole:
Vérifie que le rôle d'exécution dispose des autorisations requises pour les SQS ressources AmazonMWAA, Amazon S3 CloudWatch, CloudWatch Logs et Amazon. S'il détecte une clé gérée par le client AWS Key Management Service (AWS KMS), l'automatisation valide les autorisations requises pour la clé. Cette étape utilise le
iam:SimulateCustomPolicy
API pour déterminer si le rôle d'exécution de l'automatisation répond à toutes les autorisations requises. -
CheckKMSPolicyOnKMSKey:
Vérifie si la politique en matière de AWS KMS clés autorise l'MWAAenvironnement Amazon à utiliser la clé pour chiffrer les CloudWatch journaux. Si la AWS KMS clé est AWS gérée, l'automatisation ignore cette vérification.
-
CheckIfRequiredLogGroupsExists:
Vérifie si les groupes de CloudWatch journaux requis pour l'MWAAenvironnement Amazon existent. Si ce n'est pas le cas, l'automatisation vérifie CloudTrail
CreateLogGroup
lesDeleteLogGroup
événements. Cette étape vérifie également lesCreateLogGroup
événements. -
BranchOnLogGroupsFindings:
Branches basées sur l'existence de groupes de CloudWatch journaux liés à l'MWAAenvironnement Amazon. S'il existe au moins un groupe de journaux, l'automatisation l'analyse pour localiser les erreurs. Si aucun groupe de journaux n'est présent, l'automatisation ignore l'étape suivante.
-
CheckForErrorsInLogGroups:
Analyse les groupes de CloudWatch journaux pour localiser les erreurs.
-
GetRequiredEndPointsDetails:
Récupère les points de terminaison de service utilisés par l'environnement AmazonMWAA.
-
CheckNetworkConfiguration:
Vérifie que la configuration réseau de MWAA l'environnement Amazon répond aux exigences, notamment en vérifiant les configurations des groupes de sécurité, du réseauACLs, des sous-réseaux et des tables de routage.
-
CheckEndpointsConnectivity:
Invoque l'automatisation
AWSSupport-ConnectivityTroubleshooter
secondaire pour valider la connectivité d'Amazon aux points MWAA de terminaison requis. -
CheckS3BlockPublicAccess:
Vérifie si le compartiment Amazon S3 de MWAA l'environnement Amazon est
Block Public Access
activé et passe également en revue les paramètres généraux de blocage de l'accès public à Amazon S3 du compte. -
GenerateReport:
Collecte les informations issues de l'automatisation et imprime le résultat ou le résultat de chaque étape.
-
-
Une fois terminé, consultez la section Sorties pour obtenir les résultats détaillés de l'exécution :
-
Vérification des autorisations du rôle d'exécution dans l'MWAAenvironnement Amazon :
Vérifie si le rôle d'exécution dispose des autorisations requises pour les SQS ressources AmazonMWAA, Amazon S3 CloudWatch, CloudWatch Logs et Amazon. Si une AWS KMS clé gérée par le client est détectée, l'automatisation valide les autorisations requises pour la clé.
-
Vérification de la politique AWS KMS clé de MWAA l'environnement Amazon :
Vérifie si le rôle d'exécution possède les autorisations nécessaires pour les SQS ressources AmazonMWAA, Amazon S3 CloudWatch, CloudWatch Logs et Amazon. De plus, si une AWS KMS clé gérée par le client est détectée, l'automatisation vérifie les autorisations requises pour la clé.
-
Vérification des groupes de CloudWatch journaux de MWAA l'environnement Amazon :
Vérifie si les groupes de CloudWatch journaux requis pour l'MWAAenvironnement Amazon existent. Si ce n'est pas le cas, l'automatisation vérifie ensuite CloudTrail la localisation
CreateLogGroup
et lesDeleteLogGroup
événements. -
Vérification des tables de routage de MWAA l'environnement Amazon :
Vérifie si les tables de VPC routage Amazon dans l'MWAAenvironnement Amazon sont correctement configurées.
-
Vérification des groupes de sécurité de MWAA l'environnement Amazon :
Vérifie si les groupes de VPC sécurité Amazon de MWAA l'environnement Amazon sont correctement configurés.
-
Vérification de l'MWAAenvironnement Amazon Network ACLs :
Vérifie si les groupes VPC de sécurité Amazon dans l'MWAAenvironnement Amazon sont correctement configurés.
-
Vérification des sous-réseaux de MWAA l'environnement Amazon :
Vérifie si les sous-réseaux de MWAA l'environnement Amazon sont privés.
-
La vérification de l'MWAAenvironnement Amazon nécessitait la connectivité des points de terminaison :
Vérifie si l'MWAAenvironnement Amazon peut accéder aux points de terminaison requis. À cette fin, l'automatisation invoque l'
AWSSupport-ConnectivityTroubleshooter
automatisation. -
Vérification du compartiment Amazon S3 de MWAA l'environnement Amazon :
Vérifie si le compartiment Amazon S3 de MWAA l'environnement Amazon est
Block Public Access
activé et passe également en revue les paramètres de blocage de l'accès public à Amazon S3 du compte. -
La vérification de l'MWAAenvironnement Amazon CloudWatch enregistre les erreurs des groupes :
Analyse les groupes de CloudWatch journaux existants de l'MWAAenvironnement Amazon pour localiser les erreurs.
-
Références
Systems Manager Automation