AWSSupport-TroubleshootMWAAEnvironmentCreation - AWS Systems Manager Referensi buku runbook otomatisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWSSupport-TroubleshootMWAAEnvironmentCreation

Deskripsi

AWSSupport-TroubleshootMWAAEnvironmentCreationRunbook menyediakan informasi untuk men-debug Amazon Managed Workflows untuk masalah pembuatan lingkungan Apache Airflow (Amazon MWAA), dan melakukan pemeriksaan bersama dengan alasan yang didokumentasikan dengan upaya terbaik untuk membantu mengidentifikasi kegagalan.

Bagaimana cara kerjanya?

Runbook melakukan langkah-langkah berikut:

  • Mengambil detail lingkungan Amazon MWAA.

  • Memverifikasi izin peran eksekusi.

  • Memeriksa apakah lingkungan memiliki izin untuk menggunakan AWS KMS kunci yang disediakan untuk logging, dan apakah grup CloudWatch log yang diperlukan ada.

  • Mem-parsing log dalam grup log yang disediakan untuk menemukan kesalahan apa pun.

  • Memeriksa konfigurasi jaringan untuk memverifikasi apakah lingkungan Amazon MWAA memiliki akses ke titik akhir yang diperlukan.

  • Menghasilkan laporan dengan temuan.

Jalankan Otomasi ini (konsol)

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

/

Izin IAM yang diperlukan

AutomationAssumeRoleParameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.

  • airflow:GetEnvironment

  • cloudtrail:LookupEvents

  • ec2:DescribeNatGateways

  • ec2:DescribeNetworkAcls

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeVpcEndpoints

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetRolePolicy

  • iam:ListAttachedRolePolicies

  • iam:ListRolePolicies

  • iam:SimulateCustomPolicy

  • kms:GetKeyPolicy

  • kms:ListAliases

  • logs:DescribeLogGroups

  • logs:FilterLogEvents

  • s3:GetBucketAcl

  • s3:GetBucketPolicyStatus

  • s3:GetPublicAccessBlock

  • s3control:GetPublicAccessBlock

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

Instruksi

Ikuti langkah-langkah ini untuk mengonfigurasi otomatisasi:

  1. Arahkan ke AWSSupport-TroubleshootMWAAEnvironmentCreationSystems Manager di bawah Documents.

  2. Pilih Jalankan otomatisasi.

  3. Untuk parameter input, masukkan yang berikut ini:

    • AutomationAssumeRole (Opsional):

      Nama Sumber Daya Amazon (ARN) dari peran AWS AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.

    • EnvironmentName (Diperlukan):

      Nama lingkungan Amazon MWAA yang ingin Anda evaluasi.

    Input parameters form with AutomationAssumeRole and EnvironmentName fields for AWS Systems Manager Automation.

  4. Pilih Jalankan.

  5. Otomatisasi dimulai.

  6. Dokumen melakukan langkah-langkah berikut:

    • GetMWAAEnvironmentDetails:

      Mengambil detail lingkungan Amazon MWAA. Jika langkah ini gagal, proses otomatisasi akan berhenti dan ditampilkan sebagaiFailed.

    • CheckIAMPermissionsOnExecutionRole:

      Memverifikasi bahwa peran eksekusi memiliki izin yang diperlukan untuk sumber daya Amazon MWAA, Amazon S3, Log CloudWatch , dan CloudWatch Amazon SQS. Jika mendeteksi kunci terkelola pelanggan AWS Key Management Service (AWS KMS), otomatisasi memvalidasi izin kunci yang diperlukan. Langkah ini menggunakan iam:SimulateCustomPolicy API untuk memastikan apakah peran eksekusi otomatisasi memenuhi semua izin yang diperlukan.

    • CheckKMSPolicyOnKMSKey:

      Memeriksa apakah kebijakan AWS KMS kunci memungkinkan lingkungan Amazon MWAA menggunakan kunci untuk mengenkripsi CloudWatch Log. Jika AWS KMS kuncinya AWS-managed, otomatisasi melewatkan pemeriksaan ini.

    • CheckIfRequiredLogGroupsExists:

      Memeriksa apakah ada grup CloudWatch log yang diperlukan untuk lingkungan Amazon MWAA. Jika tidak, otomatisasi CloudTrail memeriksa CreateLogGroup dan DeleteLogGroup acara. Langkah ini juga memeriksa CreateLogGroup acara.

    • BranchOnLogGroupsFindings:

      Cabang berdasarkan keberadaan grup CloudWatch log yang terkait dengan lingkungan Amazon MWAA. Jika setidaknya ada satu grup log, otomatisasi menguraikannya untuk menemukan kesalahan. Jika tidak ada grup log, otomatisasi melewatkan langkah berikutnya.

    • CheckForErrorsInLogGroups:

      Mem-parsing grup CloudWatch log untuk menemukan kesalahan.

    • GetRequiredEndPointsDetails:

      Mengambil titik akhir layanan yang digunakan oleh lingkungan Amazon MWAA.

    • CheckNetworkConfiguration:

      Memverifikasi bahwa konfigurasi jaringan lingkungan Amazon MWAA memenuhi persyaratan, termasuk pemeriksaan pada grup keamanan, jaringan, subnet ACLs, dan konfigurasi tabel rute.

    • CheckEndpointsConnectivity:

      Memanggil otomatisasi AWSSupport-ConnectivityTroubleshooter anak untuk memvalidasi konektivitas Amazon MWAA ke titik akhir yang diperlukan.

    • CheckS3BlockPublicAccess:

      Memeriksa apakah bucket Amazon S3 lingkungan Amazon MWAA Block Public Access telah diaktifkan dan juga meninjau keseluruhan pengaturan Akses Publik Blok Amazon S3 akun.

    • GenerateReport:

      Mengumpulkan informasi dari otomatisasi dan mencetak hasil atau output dari setiap langkah.

  7. Setelah selesai, tinjau bagian Output untuk hasil eksekusi yang terperinci:

    • Memeriksa izin peran eksekusi lingkungan Amazon MWAA:

      Memverifikasi apakah peran eksekusi memiliki izin yang diperlukan untuk sumber daya Amazon MWAA, Amazon S3, Log CloudWatch , dan CloudWatch Amazon SQS. Jika AWS KMS kunci yang Dikelola Pelanggan terdeteksi, otomatisasi memvalidasi izin kunci yang diperlukan.

    • Memeriksa kebijakan AWS KMS kunci lingkungan Amazon MWAA:

      Memverifikasi apakah peran eksekusi memiliki izin yang diperlukan untuk sumber daya Amazon MWAA, Amazon S3, Log CloudWatch , CloudWatch dan Amazon SQS. Selain itu, jika AWS KMS kunci yang Dikelola Pelanggan terdeteksi, otomatisasi akan memeriksa izin kunci yang diperlukan.

    • Memeriksa grup CloudWatch log lingkungan Amazon MWAA:

      Memeriksa apakah Grup CloudWatch Log yang diperlukan untuk lingkungan Amazon MWAA ada. Jika tidak, otomatisasi kemudian CloudTrail memeriksa lokasi CreateLogGroup dan DeleteLogGroup acara.

    • Memeriksa Tabel Rute lingkungan Amazon MWAA:

      Memeriksa apakah tabel rute VPC Amazon di lingkungan Amazon MWAA dikonfigurasi dengan benar.

    • Memeriksa Grup Keamanan lingkungan Amazon MWAA:

      Memeriksa apakah lingkungan Amazon MWAA Grup keamanan Amazon VPC dikonfigurasi dengan benar.

    • Memeriksa Jaringan lingkungan Amazon MWAA: ACLs

      Memeriksa apakah grup keamanan Amazon VPC di lingkungan Amazon MWAA dikonfigurasi dengan benar.

    • Memeriksa Subnet lingkungan Amazon MWAA:

      Memverifikasi apakah subnet lingkungan Amazon MWAA bersifat pribadi.

    • Memeriksa lingkungan Amazon MWAA memerlukan konektivitas titik akhir:

      Memverifikasi apakah lingkungan Amazon MWAA dapat mengakses titik akhir yang diperlukan. Untuk tujuan ini, otomatisasi memanggil AWSSupport-ConnectivityTroubleshooter otomatisasi.

    • Memeriksa lingkungan Amazon MWAA Amazon S3 bucket:

      Memeriksa apakah bucket Amazon S3 lingkungan Amazon MWAA Block Public Access telah diaktifkan dan juga meninjau pengaturan Akses Publik Blok Amazon S3 akun.

    • Memeriksa kesalahan grup CloudWatch log lingkungan Amazon MWAA:

      Mem-parsing grup CloudWatch log yang ada di lingkungan Amazon MWAA untuk menemukan kesalahan.

    Troubleshooting report for MMAA environment showing successful checks and connectivity tests.

Referensi

Otomatisasi Systems Manager