Résolution des problèmes liés à Systems Manager Automation

Utilisez les informations suivantes pour résoudre les problèmes liés à AWS Systems Manager Automation, une fonctionnalité de AWS Systems Manager. La rubrique inclut des tâches spécifiques pour résoudre des problèmes selon les messages d'erreur d'Automation.

Erreurs d'automatisation courantes

Cette section inclut des informations sur les erreurs d'Automation courantes.

VPC non défini 400

Par défaut, lorsqu'Automation exécute les runbooks AWS-UpdateLinuxAmi ou AWS-UpdateWindowsAmi, le système crée une instance temporaire dans le VPC par défaut (172.30.0.0/16). Si vous avez supprimé le VPC par défaut, vous recevrez l'erreur suivante :

VPC not defined 400

Pour résoudre ce problème, vous devez spécifier une valeur pour le paramètre d'entrée SubnetId.

L'exécution d'Automation n'a pas pu démarrer

Une automatisation peut échouer à cause d'un accès refusé ou d'un rôle de responsable non valide si vous n'avez pas correctement configuré les rôles et politiques AWS Identity and Access Management (IAM) pour Automation.

Accès refusé

Les exemples suivants décrivent les situations lorsqu'une automatisation a échoué lors du démarrage, avec une erreur d'accès refusé.

Accès refusé à l'API Systems Manager

Message d'erreur : User: user arn isn't authorized to perform: ssm:StartAutomationExecution on resource: document arn (Service: AWSSimpleSystemsManagement; Status Code: 400; Error Code: AccessDeniedException; Request ID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)

• Cause possible 1 : l'utilisateur tentant de démarrer l'automatisation n'est pas autorisé à appeler l'API StartAutomationExecution. Pour résoudre ce problème, attachez la politique IAM requise à l'utilisateur qui a été utilisé pour lancer l'automatisation.

• Cause possible 2 : l'utilisateur tentant de lancer l'automatisation dispose de l'autorisation d'appeler l'API StartAutomationExecution, mais n'a pas l'autorisation d'appeler l'API en utilisant le runbook spécifique. Pour résoudre ce problème, attachez la politique IAM requise à l'utilisateur qui a été utilisé pour lancer l'automatisation.

Accès refusé par manque d'autorisations PassRole

Message d'erreur : User: user arn isn't authorized to perform: iam:PassRole on resource: automation assume role arn (Service: AWSSimpleSystemsManagement; Status Code: 400; Error Code: AccessDeniedException; Request ID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)

L'utilisateur tentant de lancer l'automatisation ne dispose pas de l'autorisation PassRole pour le rôle de responsable. Pour résoudre ce problème, attachez la politique iam:PassRole au rôle de l'utilisateur tentant de lancer l'automatisation. Pour de plus amples informations, veuillez consulter Tâche 2 : Attachement de la politique iam:PassRole à votre rôle Automation.

Rôle de responsable non valide

Lorsque vous exécutez Automation, un rôle de responsable est fourni dans le runbook ou transmis en tant que valeur de paramètre pour le runbook. Différents types d'erreurs peuvent survenir si le rôle de responsable n'est pas correctement spécifié ou configuré.

Rôle de responsable incorrect

Message d'erreur : The format of the supplied assume role ARN isn't valid. Le rôle de responsable n'est pas mis en forme correctement. Pour résoudre ce problème, vérifiez qu'un rôle de responsable valide est spécifié dans votre runbook ou en tant que paramètre d'exécution lorsque vous lancez l'automatisation.

Le rôle de responsable ne peut être assumé

Message d'erreur : The defined assume role is unable to be assumed. (Service: AWSSimpleSystemsManagement; Status Code: 400; Error Code: InvalidAutomationExecutionParametersException; Request ID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)

• Cause possible 1 : le rôle de responsable n'existe pas. Pour résoudre ce problème, créez le rôle. Pour de plus amples informations, veuillez consulter Configuration d'Automation. Des détails spécifiques pour créer ce rôle sont décrits dans la rubrique suivante, Tâche 1 : Création d'un rôle de service pour Automation.

• Cause possible 2 : le rôle de responsable n'a pas de relation d'approbation avec le service Systems Manager. Pour résoudre ce problème, créez la relation d'approbation. Pour de plus amples informations, consultez Je ne peux pas assumer un rôle dans le Guide de l'utilisateur IAM.

L'exécution a démarré, mais le statut est Failed (Échec)

Échecs spécifiques à l'action

Les runbooks contiennent des étapes, qui s'exécutent dans l'ordre. Chaque étape appelle une ou plusieurs API de Service AWS. Les API déterminent les entrées, le comportement et les sorties de l'étape. Il existe plusieurs situations dans lesquelles une erreur peut causer l'échec d'une étape. Les messages d'échec indiquent quand et où une erreur s'est produite.

Pour afficher un message d'échec dans la console Amazon Elastic Compute Cloud (Amazon EC2), sélectionnez le lien View Outputs (Afficher les sorties) de l'étape qui a échoué. Pour afficher un message d'échec de l'AWS CLI, appelez get-automation-execution et recherchez l'attribut FailureMessage dans une StepExecution échouée.

Dans les exemples suivants, une étape associée à l'action aws:runInstance a échoué. Chaque exemple décrit un type d'erreur différent.

Image manquante

Message d'erreur : Automation Step Execution fails when it's launching the instance(s). Get Exception from RunInstances API of ec2 Service. Exception Message from RunInstances API: [The image id '[ami id]' doesn't exist (Service: AmazonEC2; Status Code: 400; Error Code: InvalidAMIID.NotFound; Request ID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)]. Please refer to Automation Service Troubleshooting Guide for more diagnosis details.

L'action aws:runInstances a reçu une entrée pour une ImageId qui n'existe pas. Pour résoudre ce problème, mettez à jour le runbook ou les valeurs de paramètre avec l'ID d'AMI correct.

Le rôle de responsable ne dispose pas des autorisations suffisantes

Message d'erreur : Automation Step Execution fails when it's launching the instance(s). Get Exception from RunInstances API of ec2 Service. Exception Message from RunInstances API: [You aren't authorized to perform this operation. Encoded authorization failure message: xxxxxxx (Service: AmazonEC2; Status Code: 403; Error Code: UnauthorizedOperation; Request ID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)]. Please refer to Automation Service Troubleshooting Guide for more diagnosis details.

Le rôle de responsable ne dispose pas des autorisations suffisantes pour appeler l'API RunInstances sur des instances EC2. Pour résoudre ce problème, attachez une politique IAM au rôle assume qui a l'autorisation d'appeler l'API RunInstances. Pour plus d'informations, consultez le Méthode 2 : Utiliser IAM afin de configurer des rôles pour Automation.

État inattendu

Message d'erreur : Step fails when it's verifying launched instance(s) are ready to be used. Instance i-xxxxxxxxx entered unexpected state: shutting-down. Please refer to Automation Service Troubleshooting Guide for more diagnosis details.

• Cause possible 1 : un problème est survenu avec l'instance ou le service Amazon EC2. Pour résoudre ce problème, connectez-vous à l'instance ou vérifiez le journal système de l'instance pour comprendre ce qui a déclenché l'arrêt de l'instance.

• Cause possible 2 : Le script de données utilisateur pour l'action aws:runInstances rencontre un problème ou a une syntaxe incorrecte. Vérifiez la syntaxe du script des données utilisateur. Vérifiez aussi que le script des données utilisateur n'arrête pas l'instance ou n'appelle pas d'autres scripts susceptibles d'arrêter l'instance.

Référence des échecs spécifiques à l'action

Lorsqu'une étape échoue, le message peut indiquer quel service a été appelé au moment de l'échec. Le tableau suivant répertorie les services appelés par chaque action. Le tableau fournit aussi des liens vers des informations sur chaque service.

Action	Services AWS appelée par cette action	Pour obtenir des informations sur ce service	Contenu de dépannage
aws:runInstances	Amazon EC2	Guide de l'utilisateur Amazon EC2 pour instances Linux	Dépannage des instances EC2
aws:changeInstanceState	Amazon EC2	Guide de l'utilisateur d'Amazon EC2 pour instances Linux	Dépannage des instances EC2
aws:runCommand	Systems Manager	AWS Systems Manager Run Command	Résolution des problèmes liés à Run Command de Systems Manager
aws:createImage	Amazon EC2	Amazon Machine Images
aws:createStack	AWS CloudFormation	Guide de l'utilisateur AWS CloudFormation	Résolutions des problèmes liés à AWS CloudFormation
aws:deleteStack	AWS CloudFormation	Guide de l'utilisateur AWS CloudFormation	Résolutions des problèmes liés à AWS CloudFormation
aws:deleteImage	Amazon EC2	Amazon Machine Images
aws:copyImage	Amazon EC2	Amazon Machine Images
aws:createTag	Amazon EC2, Systems Manager	Ressources et balises EC2
aws:invokeLambdaFunction	AWS Lambda	AWS Lambda Guide du développeur	Résolution des problèmes Lambda

Erreur interne du service Automation

Message d'erreur : Internal Server Error. Please refer to Automation Service Troubleshooting Guide for more diagnosis details.

Un problème du service Automation empêche le runbook spécifié de s'exécuter correctement. Pour résoudre ce problème, contactez AWS Support. Fournissez l'ID d'exécution et l'ID client, si disponible.

L'exécution a démarré, mais a expiré

Message d'erreur : Step timed out while step is verifying launched instance(s) are ready to be used. Please refer to Automation Service Troubleshooting Guide for more diagnosis details.

Une étape de l'action aws:runInstances a expiré. Cela peut se produire si l'action de l'étape met plus de temps à s'exécuter que la valeur spécifiée pour timeoutSeconds dans l'étape. Pour résoudre ce problème, spécifiez une valeur plus longue pour le paramètre timeoutSeconds dans l'action aws:runInstances. Si cela ne résout pas le problème, cherchez pourquoi l'étape est plus longue à s'exécuter que prévu.