AWSSupport-TroubleshootSessionManager - AWS Systems Manager Riferimento al runbook di automazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSSupport-TroubleshootSessionManager

Descrizione

Il AWSSupport-TroubleshootSessionManager runbook ti aiuta a risolvere i problemi più comuni che impediscono la connessione a istanze gestite di Amazon Elastic Compute Cloud (AmazonEC2) utilizzando Session Manager. Session Manager è una funzionalità di. AWS Systems Manager Questo runbook verifica quanto segue:

  • Verifica se l'istanza è in esecuzione e riporta i report come gestito da Systems Manager.

  • Esegue il AWSSupport-TroubleshootManagedInstance runbook se l'istanza non riporta i dati come gestiti da Systems Manager.

  • Controlla la versione dell'SSMagente installata sull'istanza.

  • Verifica se un profilo di istanza contenente una policy recommended AWS Identity and Access Management (IAM) per Session Manager è collegato all'EC2istanza Amazon.

  • Raccoglie i log SSM dell'agente dall'istanza.

  • Analizza le preferenze del Session Manager.

  • Esegue il AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 runbook per analizzare la connettività dell'istanza agli endpoint per Session Manager, AWS Key Management Service (AWS KMS), Amazon Simple Storage Service (Amazon S3) e Amazon CloudWatch Logs (Logs). CloudWatch

Considerazioni

  • I nodi gestiti ibridi non sono supportati.

  • Questo runbook verifica solo se una IAM policy gestita consigliata è associata al profilo dell'istanza. Non analizza le IAM AWS KMS autorizzazioni contenute nel profilo dell'istanza.

Importante

Il AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 runbook utilizza VPCReachability Analyzer per analizzare la connettività di rete tra un endpoint di origine e un endpoint di servizio. Ti viene addebitato un costo per ogni esecuzione di analisi tra un'origine e una destinazione. Per ulteriori dettagli, consulta la pagina VPCdei prezzi di Amazon.

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

Linux, macOS, Windows

Parametri

  • AutomationAssumeRole

    Tipo: stringa

    Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

  • InstanceId

    Tipo: stringa

    Descrizione: (Obbligatorio) L'ID dell'EC2istanza Amazon a cui non riesci a connetterti tramite Session Manager.

  • SessionPreferenceDocument

    Tipo: stringa

    Predefinito: SSM - SessionManagerRunShell

    Descrizione: (Facoltativo) Il nome del documento delle preferenze di sessione. Se non specificate un documento personalizzato con le preferenze di sessione all'avvio delle sessioni, utilizzate il valore predefinito.

IAMAutorizzazioni richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

  • ec2:CreateNetworkInsightsPath

  • ec2:DeleteNetworkInsightsAnalysis

  • ec2:DeleteNetworkInsightsPath

  • ec2:StartNetworkInsightsAnalysis

  • tiros:CreateQuery

  • ec2:DescribeAvailabilityZones

  • ec2:DescribeCustomerGateways

  • ec2:DescribeDhcpOptions

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeInternetGateways

  • ec2:DescribeManagedPrefixLists

  • ec2:DescribeNatGateways

  • ec2:DescribeNetworkAcls

  • ec2:DescribeNetworkInsightsAnalyses

  • ec2:DescribeNetworkInsightsPaths

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribePrefixLists

  • ec2:DescribeRegions

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeTransitGatewayAttachments

  • ec2:DescribeTransitGatewayConnects

  • ec2:DescribeTransitGatewayPeeringAttachments

  • ec2:DescribeTransitGatewayRouteTables

  • ec2:DescribeTransitGateways

  • ec2:DescribeTransitGatewayVpcAttachments

  • ec2:DescribeVpcAttribute

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcEndpointServiceConfigurations

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeVpcs

  • ec2:DescribeVpnConnections

  • ec2:DescribeVpnGateways

  • ec2:GetManagedPrefixListEntries

  • ec2:GetTransitGatewayRouteTablePropagations

  • ec2:SearchTransitGatewayRoutes

  • elasticloadbalancing:DescribeListeners

  • elasticloadbalancing:DescribeLoadBalancerAttributes

  • elasticloadbalancing:DescribeLoadBalancers

  • elasticloadbalancing:DescribeRules

  • elasticloadbalancing:DescribeTags

  • elasticloadbalancing:DescribeTargetGroups

  • elasticloadbalancing:DescribeTargetHealth

  • iam:GetInstanceProfile

  • iam:ListAttachedRolePolicies

  • iam:ListRoles

  • iam:PassRole

  • ssm:DescribeAutomationStepExecutions

  • ssm:DescribeInstanceInformation

  • ssm:GetAutomationExecution

  • ssm:GetDocument

  • ssm:ListCommands

  • ssm:ListCommandInvocations

  • ssm:SendCommand

  • ssm:StartAutomationExecution

  • tiros:GetQueryAnswer

  • tiros:GetQueryExplanation

Fasi del documento

  1. aws:waitForAwsResourceProperty: Attende fino a 6 minuti che l'istanza di destinazione superi i controlli di stato.

  2. aws:executeScript: analizza il documento delle preferenze di sessione.

  3. aws:executeAwsApi: ottiene il profilo ARN dell'istanza associato all'istanza.

  4. aws:executeAwsApi: verifica se l'istanza riporta i report come gestita da Systems Manager.

  5. aws:branch: filiali in base al fatto che l'istanza riporti o meno come gestita da Systems Manager.

  6. aws:executeScript: verifica se l'SSMagente installato sull'istanza supporta Session Manager.

  7. aws:branch: filiali basate sulla piattaforma dell'istanza per la raccolta dei ssm-cli log.

  8. aws:runCommand: raccoglie l'output dei log da un ssm-cli Linux oppure macOS istanza.

  9. aws:runCommand: raccoglie l'output dei log da un ssm-cli Windows istanza.

  10. aws:executeScript: analizza i ssm-cli log.

  11. aws:executeScript: verifica se una IAM politica consigliata è associata al profilo dell'istanza.

  12. aws:branch: determina se valutare la connettività ssmmessages degli endpoint in base ai ssm-cli log.

  13. aws:executeAutomation: valuta se l'istanza può connettersi a un endpoint. ssmmessages

  14. aws:branch: determina se valutare la connettività degli endpoint Amazon S3 in base ai ssm-cli log e alle preferenze di sessione.

  15. aws:executeAutomation: valuta se l'istanza può connettersi a un endpoint Amazon S3.

  16. aws:branch: determina se valutare la connettività AWS KMS degli endpoint in base ai ssm-cli log e alle preferenze di sessione.

  17. aws:executeAutomation: valuta se l'istanza può connettersi a un endpoint. AWS KMS

  18. aws:branch: Determina se valutare la connettività CloudWatch degli endpoint di Logs in base ai ssm-cli log e alle preferenze di sessione.

  19. aws:executeAutomation: valuta se l'istanza può connettersi a un endpoint Logs. CloudWatch

  20. aws:executeAutomation: esegue il runbook. AWSSupport-TroubleshootManagedInstance

  21. aws:executeScript: compila l'output dei passaggi precedenti e genera un rapporto.

Uscite

  • generateReport.EvalReport- I risultati dei controlli eseguiti dal runbook in testo semplice.