`AWSSupport-SetupIPMonitoringFromVPC`

Descrizione

AWSSupport-SetupIPMonitoringFromVPCcrea un'istanza Amazon Elastic Compute Cloud (Amazon EC2) nella sottorete specificata e monitora la destinazione IPs (IPv4 o IPv6) selezionata eseguendo continuamente test ping, MTR, traceroute e tracetcp. I risultati vengono archiviati nei log di Amazon CloudWatch Logs e vengono applicati filtri metrici per visualizzare rapidamente le statistiche sulla latenza e sulla perdita di pacchetti in una dashboard. CloudWatch

Informazioni aggiuntive

I dati di CloudWatch Logs possono essere utilizzati per la risoluzione dei problemi di rete e l'analisi del raggiungimento di una soglia di latenza. pattern/trends. Additionally, you can configure CloudWatch alarms with Amazon SNS notifications when packet loss and/or I dati possono essere utilizzati anche per aprire un caso Supporto AWS, per aiutare a isolare rapidamente un problema e ridurre i tempi di risoluzione durante l'analisi di un problema di rete.

Nota

Per ripulire le risorse create daAWSSupport-SetupIPMonitoringFromVPC, puoi usare il runbook. AWSSupport-TerminateIPMonitoringFromVPC Per ulteriori informazioni, consulta AWSSupport-TerminateIPMonitoringFromVPC.

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

Linux, macOS, Windows

Parametri

AutomationAssumeRole

Tipo: stringa

Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.
CloudWatchLogGroupNamePrefix

Tipo: stringa

Impostazione predefinita:/AWSSupport-SetupIPMonitoringFromVPC

Descrizione: (Facoltativo) Prefisso utilizzato per ogni gruppo di CloudWatch log creato per i risultati del test.
CloudWatchLogGroupRetentionInDays

Tipo: stringa

Valori validi: 1 | 3 | 5 | 7 | 14 | 30 | 60 | 90 | 120 | 150 | 180 | 365 | 400 | 545 | 731 | 1827 | 3653

Impostazione predefinita: 7

Descrizione: (facoltativo) numero di giorni che definisce l'intervallo di tempo durante il quale si desidera conservare i risultati del monitoraggio della rete.
InstanceType

Tipo: stringa

Valori validi: t2.micro | t2.small | t2.medium | t2.large | t3.micro | t3.small | t3.medium | t3.large | t4g.micro | t4g.small | t4g.medium | t4g.large

Impostazione predefinita: t2.micro

Descrizione: ( EC2 Facoltativo) Il EC2 tipo di istanza per l'istanza Rescue. Dimensioni consigliate: t2.micro.
SubnetId

Tipo: stringa

Descrizione: (obbligatorio) ID sottorete dell'istanza di monitoraggio. Tieni presente che se specifichi una sottorete privata, devi assicurarti che sia disponibile l'accesso a Internet per consentire all'istanza di monitoraggio di configurare il test (ovvero installare l'agente CloudWatch Logs, interagire con Systems Manager e CloudWatch).
Obiettivo IPs

Tipo: stringa

Descrizione: (Obbligatorio) Elenco separato da virgole di IPv4s e/o IPv6s da monitorare. Gli spazi non sono consentiti. La dimensione massima è pari a 255 caratteri. Se si specifica un indirizzo IP non valido, l'automazione avrà esito negativo e verrà eseguito il rollback della configurazione dei test.

Autorizzazioni IAM richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

Si consiglia di allegare all'utente che esegue l'automazione la policy gestita di Amazon SSMAutomation Role IAM. L'utente deve inoltre disporre della seguente policy associata al proprio account utente, gruppo o ruolo:



                {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:CreateRole",
                "iam:CreateInstanceProfile",
                "iam:GetRole",
                "iam:GetInstanceProfile",
                "iam:DetachRolePolicy",
                "iam:AttachRolePolicy",
                "iam:PassRole",
                "iam:AddRoleToInstanceProfile",
                "iam:RemoveRoleFromInstanceProfile",
                "iam:DeleteRole",
                "iam:DeleteInstanceProfile",
                "iam:PutRolePolicy",
                "iam:DeleteRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::
                AWS_account_ID
                :role/AWSSupport/SetupIPMonitoringFromVPC_*",
                "arn:aws:iam::
                AWS_account_ID
                :instance-profile/AWSSupport/SetupIPMonitoringFromVPC_*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "iam:DetachRolePolicy",
                "iam:AttachRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::aws:policy/service-role/AmazonSSMManagedInstanceCore"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "cloudwatch:DeleteDashboards"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeSubnets",
                "ec2:DescribeInstanceTypes",
                "ec2:RunInstances",
                "ec2:TerminateInstances",
                "ec2:DescribeInstanceStatus"
                "ec2:CreateTags",
                "ec2:AssignIpv6Addresses",
                "ec2:DescribeTags",
                "ec2:DescribeInstances",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ssm:GetParameter",
                "ssm:SendCommand",
                "ssm:ListCommands",
                "ssm:ListCommandInvocations",
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

Fasi del documento

aws:executeAwsApi- descrivi la sottorete fornita.
aws:branch- valuta l'IPs input di Target.

(IPv6) Se Target IPs contiene IPv6:

aws:assertAwsResourceProperty- verifica che la sottorete fornita abbia un IPv6 pool associato
aws:executeScript- ottieni l'architettura del tipo di istanza e il percorso dei parametri pubblici per la versione più recente di Amazon Linux 2 AMI.
aws:executeAwsApi- scarica la versione più recente di Amazon Linux 2 AMI da Parameter Store.
aws:executeAwsApi- creare un gruppo di sicurezza per il test nel VPC della sottorete.

(Pulizia) Se la creazione del gruppo di sicurezza ha esito negativo:

aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:executeAwsApi- consentire tutto il traffico in uscita nel gruppo di sicurezza di test.

(Pulizia) Se la creazione della regola in uscita del gruppo di sicurezza ha esito negativo:

aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:executeAwsApi- creare un ruolo IAM per l' EC2 istanza di test

(Pulizia) Se la creazione del ruolo ha esito negativo:
1. aws:executeAwsApi- elimina il ruolo IAM creato dall'automazione, se esiste.
2. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:executeAwsApi- allega la politica SSMManaged InstanceCore gestita da Amazon

(Pulizia) Se il collegamento della policy ha esito negativo:
1. aws:executeAwsApi- scollegare la policy SSMManaged InstanceCore gestita da Amazon dal ruolo creato dall'automazione, se allegato.
2. aws:executeAwsApi- elimina il ruolo IAM creato dall'automazione.
3. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:executeAwsApi- allega una politica in linea per consentire l'impostazione delle conservazioni dei gruppi di CloudWatch log e la creazione di una dashboard CloudWatch

(Pulizia) Se il collegamento della policy inline ha esito negativo:
1. aws:executeAwsApi- elimina la politica CloudWatch in linea dal ruolo creato dall'automazione, se creato.
2. aws:executeAwsApi- scollegare la policy SSMManaged InstanceCore gestita da Amazon dal ruolo creato dall'automazione.
3. aws:executeAwsApi- elimina il ruolo IAM creato dall'automazione.
4. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:executeAwsApi- crea un profilo di istanza IAM.

(Pulizia) Se la creazione del profilo dell'istanza ha esito negativo:
1. aws:executeAwsApi- elimina il profilo di istanza IAM creato dall'automazione, se esiste.
2. aws:executeAwsApi- elimina la policy CloudWatch in linea dal ruolo creato dall'automazione.
3. aws:executeAwsApi- elimina la policy SSMManaged InstanceCore gestita da Amazon dal ruolo creato dall'automazione.
4. aws:executeAwsApi- elimina il ruolo IAM creato dall'automazione.
5. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:executeAwsApi- associare il profilo dell'istanza IAM al ruolo IAM.

(Pulizia) Se l'associazione tra profilo dell'istanza e ruolo ha esito negativo:
1. aws:executeAwsApi- rimuove il profilo dell'istanza IAM dal ruolo, se associato.
2. aws:executeAwsApi- elimina il profilo dell'istanza IAM creato dall'automazione.
3. aws:executeAwsApi- elimina la policy CloudWatch in linea dal ruolo creato dall'automazione.
4. aws:executeAwsApi- scollegare la policy SSMManaged InstanceCore gestita da Amazon dal ruolo creato dall'automazione.
5. aws:executeAwsApi- elimina il ruolo IAM creato dall'automazione.
6. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:sleep- attendi che il profilo dell'istanza diventi disponibile.
aws:runInstances- crea l'istanza di test nella sottorete specificata e allegando il profilo di istanza creato in precedenza.

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- terminare l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'istanza IAM dal ruolo.
3. aws:executeAwsApi- elimina il profilo dell'istanza IAM creato dall'automazione.
4. aws:executeAwsApi- elimina la policy CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la policy SSMManaged InstanceCore gestita da Amazon dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il ruolo IAM creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:branch- valuta l'IPs input di Target.

(IPv6) Se Target IPs contiene IPv6:

aws:executeAwsApi- IPv6 assegna an all'istanza di test.
aws:waitForAwsResourceProperty- attendi che l'istanza di test diventi un'istanza gestita.

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- terminare l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'istanza IAM dal ruolo.
3. aws:executeAwsApi- elimina il profilo dell'istanza IAM creato dall'automazione.
4. aws:executeAwsApi- elimina la policy CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la policy SSMManaged InstanceCore gestita da Amazon dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il ruolo IAM creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:runCommand- installa i prerequisiti di test:

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- terminare l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'istanza IAM dal ruolo.
3. aws:executeAwsApi- elimina il profilo dell'istanza IAM creato dall'automazione.
4. aws:executeAwsApi- elimina la policy CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la policy SSMManaged InstanceCore gestita da Amazon dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il ruolo IAM creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:runCommand- verificare che gli indirizzi forniti IPs siano sintatticamente corretti e/o che gli indirizzi siano corretti IPv4: IPv6

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- terminare l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'istanza IAM dal ruolo.
3. aws:executeAwsApi- elimina il profilo dell'istanza IAM creato dall'automazione.
4. aws:executeAwsApi- elimina la policy CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la policy SSMManaged InstanceCore gestita da Amazon dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il ruolo IAM creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:runCommand- definire il test MTR per ciascuno dei test forniti IPs.

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- terminare l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'istanza IAM dal ruolo.
3. aws:executeAwsApi- elimina il profilo dell'istanza IAM creato dall'automazione.
4. aws:executeAwsApi- elimina la policy CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la policy SSMManaged InstanceCore gestita da Amazon dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il ruolo IAM creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:runCommand- definire il primo test di ping per ciascuno dei test forniti IPs.

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- terminare l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'istanza IAM dal ruolo.
3. aws:executeAwsApi- elimina il profilo dell'istanza IAM creato dall'automazione.
4. aws:executeAwsApi- elimina la policy CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la policy SSMManaged InstanceCore gestita da Amazon dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il ruolo IAM creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:runCommand- definire il secondo test di ping per ciascuno dei test forniti IPs.

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- terminare l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'istanza IAM dal ruolo.
3. aws:executeAwsApi- elimina il profilo dell'istanza IAM creato dall'automazione.
4. aws:executeAwsApi- elimina la policy CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la policy SSMManaged InstanceCore gestita da Amazon dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il ruolo IAM creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:runCommand- definire il test tracepath per ciascuno dei test forniti. IPs

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- terminare l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'istanza IAM dal ruolo.
3. aws:executeAwsApi- elimina il profilo dell'istanza IAM creato dall'automazione.
4. aws:executeAwsApi- elimina la policy CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la policy SSMManaged InstanceCore gestita da Amazon dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il ruolo IAM creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:runCommand- definire il test traceroute per ciascuno dei test forniti. IPs

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- terminare l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'istanza IAM dal ruolo.
3. aws:executeAwsApi- elimina il profilo dell'istanza IAM creato dall'automazione.
4. aws:executeAwsApi- elimina la policy CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la policy SSMManaged InstanceCore gestita da Amazon dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il ruolo IAM creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:runCommand- configurare CloudWatch i log.

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- terminare l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'istanza IAM dal ruolo.
3. aws:executeAwsApi- elimina il profilo dell'istanza IAM creato dall'automazione.
4. aws:executeAwsApi- elimina la policy CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la policy SSMManaged InstanceCore gestita da Amazon dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il ruolo IAM creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:runCommand- pianifica i cronjob per eseguire ogni test ogni minuto.

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- terminare l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'istanza IAM dal ruolo.
3. aws:executeAwsApi- elimina il profilo dell'istanza IAM creato dall'automazione.
4. aws:executeAwsApi- elimina la policy CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la policy SSMManaged InstanceCore gestita da Amazon dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il ruolo IAM creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:sleep- attendi che i test generino dei dati.
aws:runCommand- imposta le conservazioni desiderate per i gruppi di CloudWatch log.

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- terminare l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'istanza IAM dal ruolo.
3. aws:executeAwsApi- elimina il profilo dell'istanza IAM creato dall'automazione.
4. aws:executeAwsApi- elimina la policy CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la policy SSMManaged InstanceCore gestita da Amazon dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il ruolo IAM creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:runCommand- imposta i filtri metrici del gruppo di CloudWatch log.

(Pulizia) Se la fase ha esito negativo:
1. aws:changeInstanceState- termina l'istanza di test.
2. aws:executeAwsApi- rimuove il profilo dell'istanza IAM dal ruolo.
3. aws:executeAwsApi- elimina il profilo dell'istanza IAM creato dall'automazione.
4. aws:executeAwsApi- elimina la policy CloudWatch in linea dal ruolo creato dall'automazione.
5. aws:executeAwsApi- scollegare la policy SSMManaged InstanceCore gestita da Amazon dal ruolo creato dall'automazione.
6. aws:executeAwsApi- elimina il ruolo IAM creato dall'automazione.
7. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.
aws:runCommand- crea la CloudWatch dashboard.

(Pulizia) Se la fase ha esito negativo:
1. aws:executeAwsApi- elimina la CloudWatch dashboard, se esiste.
2. aws:changeInstanceState- terminare l'istanza di test.
3. aws:executeAwsApi- rimuove il profilo dell'istanza IAM dal ruolo.
4. aws:executeAwsApi- elimina il profilo dell'istanza IAM creato dall'automazione.
5. aws:executeAwsApi- elimina la policy CloudWatch in linea dal ruolo creato dall'automazione.
6. aws:executeAwsApi- scollegare la policy SSMManaged InstanceCore gestita da Amazon dal ruolo creato dall'automazione.
7. aws:executeAwsApi- elimina il ruolo IAM creato dall'automazione.
8. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.

Output

createCloudWatchDashboards.Output: l'URL della dashboard. CloudWatch

createManagedInstance. InstanceIds - l'ID dell'istanza di test.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

AWSConfigRemediation-RemoveVPCDefaultSecurityGroupRules

AWSSupport-TerminateIPMonitoringFromVPC