`AWSSupport-SetupIPMonitoringFromVPC`

Descrizione

AWSSupport-SetupIPMonitoringFromVPCcrea un'istanza Amazon Elastic Compute Cloud (AmazonEC2) nella sottorete specificata e monitora la destinazione IPs (IPv4oIPv6) selezionata eseguendo continuamente test pingMTR, traceroute e tracetcp. I risultati vengono archiviati nei log di Amazon CloudWatch Logs e vengono applicati filtri metrici per visualizzare rapidamente le statistiche sulla latenza e sulla perdita di pacchetti in una dashboard. CloudWatch

Informazioni aggiuntive

I dati di CloudWatch Logs possono essere utilizzati per la risoluzione dei problemi di rete e l'analisi di pattern e tendenze. Inoltre, puoi configurare CloudWatch allarmi con le SNS notifiche di Amazon quando la perdita di pacchetti e/o la latenza raggiungono una soglia. I dati possono essere utilizzati anche per aprire un caso AWS Support, per aiutare a isolare rapidamente un problema e ridurre i tempi di risoluzione quando si indaga su un problema di rete.

Nota

Per ripulire le risorse create daAWSSupport-SetupIPMonitoringFromVPC, puoi usare il runbook. AWSSupport-TerminateIPMonitoringFromVPC Per ulteriori informazioni, consulta AWSSupport-TerminateIPMonitoringFromVPC.

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

Linux, macOS, Windows

Parametri

AutomationAssumeRole

Tipo: stringa

Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.
CloudWatchLogGroupNamePrefix

Tipo: stringa

Impostazione predefinita:/AWSSupport-SetupIPMonitoringFromVPC

Descrizione: (Facoltativo) Prefisso utilizzato per ogni gruppo di CloudWatch log creato per i risultati del test.
CloudWatchLogGroupRetentionInDays

Tipo: stringa

Valori validi: 1 | 3 | 5 | 7 | 14 | 30 | 60 | 90 | 120 | 150 | 180 | 365 | 400 | 545 | 731 | 1827 | 3653

Impostazione predefinita: 7

Descrizione: (facoltativo) numero di giorni che definisce l'intervallo di tempo durante il quale si desidera conservare i risultati del monitoraggio della rete.
InstanceType

Tipo: stringa

Valori validi: t2.micro | t2.small | t2.medium | t2.large | t3.micro | t3.small | t3.medium | t3.large | t4g.micro | t4g.small | t4g.medium | t4g.large

Impostazione predefinita: t2.micro

Descrizione: (EC2Facoltativo) EC2Rescue Il tipo di istanza per l'istanza. Dimensioni consigliate: t2.micro.
SubnetId

Tipo: stringa

Descrizione: (obbligatorio) ID sottorete dell'istanza di monitoraggio. Tieni presente che se specifichi una sottorete privata, devi assicurarti che sia disponibile l'accesso a Internet per consentire all'istanza di monitoraggio di configurare il test (ovvero installare l'agente CloudWatch Logs, interagire con Systems Manager e CloudWatch).
T argetIPs

Tipo: stringa

Descrizione: (Obbligatorio) Elenco separato da virgole di IPv4s e/o IPv6s da monitorare. Gli spazi non sono consentiti. La dimensione massima è pari a 255 caratteri. Se si specifica un indirizzo IP non valido, l'automazione avrà esito negativo e verrà eseguito il rollback della configurazione dei test.

IAMAutorizzazioni richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

Si consiglia di allegare la policy IAM gestita A mazonSSMAutomation Role all'utente che esegue l'automazione. L'utente deve inoltre disporre della seguente policy associata al proprio account utente, gruppo o ruolo:



                {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:CreateRole",
                "iam:CreateInstanceProfile",
                "iam:GetRole",
                "iam:GetInstanceProfile",
                "iam:DetachRolePolicy",
                "iam:AttachRolePolicy",
                "iam:PassRole",
                "iam:AddRoleToInstanceProfile",
                "iam:RemoveRoleFromInstanceProfile",
                "iam:DeleteRole",
                "iam:DeleteInstanceProfile",
                "iam:PutRolePolicy",
                "iam:DeleteRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::
                AWS_account_ID
                :role/AWSSupport/SetupIPMonitoringFromVPC_*",
                "arn:aws:iam::
                AWS_account_ID
                :instance-profile/AWSSupport/SetupIPMonitoringFromVPC_*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "iam:DetachRolePolicy",
                "iam:AttachRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::aws:policy/service-role/AmazonSSMManagedInstanceCore"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "cloudwatch:DeleteDashboards"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeSubnets",
                "ec2:DescribeInstanceTypes",
                "ec2:RunInstances",
                "ec2:TerminateInstances",
                "ec2:DescribeInstanceStatus"
                "ec2:CreateTags",
                "ec2:AssignIpv6Addresses",
                "ec2:DescribeTags",
                "ec2:DescribeInstances",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ssm:GetParameter",
                "ssm:SendCommand",
                "ssm:ListCommands",
                "ssm:ListCommandInvocations",
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

Fasi del documento

aws:executeAwsApi- descrivi la sottorete fornita.
aws:branch- valuta l'argetIPs ingresso T.

(IPv6) Se T argetIPs contiene unIPv6:

aws:assertAwsResourceProperty- verifica che la sottorete fornita abbia un IPv6 pool associato
aws:executeScript- ottieni l'architettura del tipo di istanza e il percorso dei parametri pubblici per la versione più recente di Amazon Linux 2 AMI.
aws:executeAwsApi- scarica la versione più recente di Amazon Linux 2 AMI da Parameter Store.
aws:executeAwsApi- crea un gruppo di sicurezza per il test nella sottorete. VPC

(Pulizia) Se la creazione del gruppo di sicurezza ha esito negativo:

aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:executeAwsApi- consentire tutto il traffico in uscita nel gruppo di sicurezza di test.

(Pulizia) Se la creazione della regola in uscita del gruppo di sicurezza ha esito negativo:

aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:executeAwsApi- creare un IAM ruolo per l'EC2istanza di test

(Pulizia) Se la creazione del ruolo ha esito negativo:
1. aws:executeAwsApi- elimina il IAM ruolo creato dall'automazione, se esiste.
2. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:executeAwsApi- allegare la politica mazonSSMManaged InstanceCore gestita A

(Pulizia) Se il collegamento della policy ha esito negativo:
1. aws:executeAwsApi- scollegare la politica mazonSSMManaged InstanceCore gestita A dal ruolo creato dall'automazione, se allegato.
2. aws:executeAwsApi- elimina il IAM ruolo creato dall'automazione.
3. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:executeAwsApi- allega una politica in linea per consentire l'impostazione delle conservazioni dei gruppi di CloudWatch log e la creazione di una dashboard CloudWatch

(Pulizia) Se il collegamento della policy inline ha esito negativo:
1. aws:executeAwsApi- elimina la politica CloudWatch in linea dal ruolo creato dall'automazione, se creato.
2. aws:executeAwsApi- scollegare la politica mazonSSMManaged InstanceCore gestita A dal ruolo creato dall'automazione.
3. aws:executeAwsApi- elimina il IAM ruolo creato dall'automazione.
4. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:executeAwsApi- creare un profilo di IAM istanza.

(Pulizia) Se la creazione del profilo dell'istanza ha esito negativo:
1. aws:executeAwsApi- elimina il profilo di IAM istanza creato dall'automazione, se esiste.
2. aws:executeAwsApi- elimina la politica CloudWatch in linea dal ruolo creato dall'automazione.
3. aws:executeAwsApi- elimina la politica mazonSSMManaged InstanceCore gestita A dal ruolo creato dall'automazione.
4. aws:executeAwsApi- elimina il IAM ruolo creato dall'automazione.
5. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:executeAwsApi- associare il profilo dell'IAMistanza al IAM ruolo.

(Pulizia) Se l'associazione tra profilo dell'istanza e ruolo ha esito negativo:
1. aws:executeAwsApi- rimuove il profilo dell'IAMistanza dal ruolo, se associato.
2. aws:executeAwsApi- elimina il profilo di IAM istanza creato dall'automazione.
3. aws:executeAwsApi- elimina la politica CloudWatch in linea dal ruolo creato dall'automazione.
4. aws:executeAwsApi- scollegare la politica mazonSSMManaged InstanceCore gestita A dal ruolo creato dall'automazione.
5. aws:executeAwsApi- elimina il IAM ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:sleep- attendi che il profilo dell'istanza diventi disponibile.
aws:runInstances- crea l'istanza di test nella sottorete specificata e allegando il profilo di istanza creato in precedenza.

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- terminare l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'IAMistanza dal ruolo.
3. aws:executeAwsApi- elimina il profilo di IAM istanza creato dall'automazione.
4. aws:executeAwsApi- elimina la politica CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la politica mazonSSMManaged InstanceCore gestita A dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il IAM ruolo creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:branch- valuta l'argetIPs ingresso T.

(IPv6) Se T argetIPs contiene unIPv6:

aws:executeAwsApi- IPv6 assegna an all'istanza di test.
aws:waitForAwsResourceProperty- attendi che l'istanza di test diventi un'istanza gestita.

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- terminare l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'IAMistanza dal ruolo.
3. aws:executeAwsApi- elimina il profilo di IAM istanza creato dall'automazione.
4. aws:executeAwsApi- elimina la politica CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la politica mazonSSMManaged InstanceCore gestita A dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il IAM ruolo creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:runCommand- installa i prerequisiti di test:

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- terminare l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'IAMistanza dal ruolo.
3. aws:executeAwsApi- elimina il profilo di IAM istanza creato dall'automazione.
4. aws:executeAwsApi- elimina la politica CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la politica mazonSSMManaged InstanceCore gestita A dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il IAM ruolo creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:runCommand- verificare che gli indirizzi forniti IPs siano sintatticamente corretti IPv4 e/o che gli indirizzi: IPv6

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- terminare l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'IAMistanza dal ruolo.
3. aws:executeAwsApi- elimina il profilo di IAM istanza creato dall'automazione.
4. aws:executeAwsApi- elimina la politica CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la politica mazonSSMManaged InstanceCore gestita A dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il IAM ruolo creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:runCommand- definire il MTR test per ciascuno dei dati fornitiIPs.

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- terminare l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'IAMistanza dal ruolo.
3. aws:executeAwsApi- elimina il profilo di IAM istanza creato dall'automazione.
4. aws:executeAwsApi- elimina la politica CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la politica mazonSSMManaged InstanceCore gestita A dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il IAM ruolo creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:runCommand- definire il primo test di ping per ciascuno dei test fornitiIPs.

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- terminare l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'IAMistanza dal ruolo.
3. aws:executeAwsApi- elimina il profilo di IAM istanza creato dall'automazione.
4. aws:executeAwsApi- elimina la politica CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la politica mazonSSMManaged InstanceCore gestita A dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il IAM ruolo creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:runCommand- definire il secondo test di ping per ciascuno dei test fornitiIPs.

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- terminare l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'IAMistanza dal ruolo.
3. aws:executeAwsApi- elimina il profilo di IAM istanza creato dall'automazione.
4. aws:executeAwsApi- elimina la politica CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la politica mazonSSMManaged InstanceCore gestita A dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il IAM ruolo creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:runCommand- definire il test tracepath per ciascuno dei test forniti. IPs

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- terminare l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'IAMistanza dal ruolo.
3. aws:executeAwsApi- elimina il profilo di IAM istanza creato dall'automazione.
4. aws:executeAwsApi- elimina la politica CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la politica mazonSSMManaged InstanceCore gestita A dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il IAM ruolo creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:runCommand- definire il test traceroute per ciascuno dei test forniti. IPs

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- terminare l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'IAMistanza dal ruolo.
3. aws:executeAwsApi- elimina il profilo di IAM istanza creato dall'automazione.
4. aws:executeAwsApi- elimina la politica CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la politica mazonSSMManaged InstanceCore gestita A dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il IAM ruolo creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:runCommand- configurare CloudWatch i log.

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- terminare l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'IAMistanza dal ruolo.
3. aws:executeAwsApi- elimina il profilo di IAM istanza creato dall'automazione.
4. aws:executeAwsApi- elimina la politica CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la politica mazonSSMManaged InstanceCore gestita A dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il IAM ruolo creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:runCommand- pianifica i cronjob per eseguire ogni test ogni minuto.

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- terminare l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'IAMistanza dal ruolo.
3. aws:executeAwsApi- elimina il profilo di IAM istanza creato dall'automazione.
4. aws:executeAwsApi- elimina la politica CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la politica mazonSSMManaged InstanceCore gestita A dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il IAM ruolo creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:sleep- attendi che i test generino dei dati.
aws:runCommand- imposta le conservazioni desiderate per i gruppi di CloudWatch log.

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- terminare l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'IAMistanza dal ruolo.
3. aws:executeAwsApi- elimina il profilo di IAM istanza creato dall'automazione.
4. aws:executeAwsApi- elimina la politica CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la politica mazonSSMManaged InstanceCore gestita A dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il IAM ruolo creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:runCommand- imposta i filtri metrici del gruppo di CloudWatch log.

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- termina l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'IAMistanza dal ruolo.
3. aws:executeAwsApi- elimina il profilo di IAM istanza creato dall'automazione.
4. aws:executeAwsApi- elimina la politica CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la politica mazonSSMManaged InstanceCore gestita A dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il IAM ruolo creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:runCommand- crea la CloudWatch dashboard.

(Pulizia) Se la fase ha esito negativo:
1. aws:executeAwsApi- elimina la CloudWatch dashboard, se esiste.
2. aws:changeInstanceState- terminare l'istanza di test.
3. aws:executeAwsApi- rimuove il profilo dell'IAMistanza dal ruolo.
4. aws:executeAwsApi- elimina il profilo di IAM istanza creato dall'automazione.
5. aws:executeAwsApi- elimina la politica CloudWatch in linea dal ruolo creato dall'automazione.
6. aws:executeAwsApi- scollegare la politica mazonSSMManaged InstanceCore gestita A dal ruolo creato dall'automazione.
7. aws:executeAwsApi- elimina il IAM ruolo creato dall'automazione.
8. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.

Output

createCloudWatchDashboards.Output: il URL pannello di controllo. CloudWatch

createManagedInstance. InstanceIds - l'ID dell'istanza di test.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

AWSConfigRemediation-RemoveVPCDefaultSecurityGroupRules

AWSSupport-TerminateIPMonitoringFromVPC