AWSSupport-TroubleshootMWAAEnvironmentCreation - AWS Systems Manager Riferimento al runbook di automazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSSupport-TroubleshootMWAAEnvironmentCreation

Descrizione

Il AWSSupport-TroubleshootMWAAEnvironmentCreation runbook fornisce informazioni per eseguire il debug dei problemi di creazione dell'ambiente Amazon Managed Workflows for Apache Airflow (AmazonMWAA) ed esegue controlli insieme ai motivi documentati con il massimo impegno per aiutare a identificare l'errore.

Come funziona?

Il runbook esegue i seguenti passaggi:

  • Recupera i dettagli dell'MWAAambiente Amazon.

  • Verifica le autorizzazioni del ruolo di esecuzione.

  • Verifica se l'ambiente dispone delle autorizzazioni per utilizzare la AWS KMS chiave fornita per la registrazione e se esiste il gruppo di log richiesto CloudWatch .

  • Analizza i log nel gruppo di log fornito per individuare eventuali errori.

  • Controlla la configurazione di rete per verificare se l'MWAAambiente Amazon ha accesso agli endpoint richiesti.

  • Genera un rapporto con i risultati.

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

/

IAMAutorizzazioni richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

  • airflow:GetEnvironment

  • cloudtrail:LookupEvents

  • ec2:DescribeNatGateways

  • ec2:DescribeNetworkAcls

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeVpcEndpoints

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetRolePolicy

  • iam:ListAttachedRolePolicies

  • iam:ListRolePolicies

  • iam:SimulateCustomPolicy

  • kms:GetKeyPolicy

  • kms:ListAliases

  • logs:DescribeLogGroups

  • logs:FilterLogEvents

  • s3:GetBucketAcl

  • s3:GetBucketPolicyStatus

  • s3:GetPublicAccessBlock

  • s3control:GetPublicAccessBlock

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

Istruzioni

Segui questi passaggi per configurare l'automazione:

  1. Accedere AWSSupport-TroubleshootMWAAEnvironmentCreationa Systems Manager nella sezione Documenti.

  2. Seleziona Execute automation (Esegui automazione).

  3. Per i parametri di input, immettete quanto segue:

    • AutomationAssumeRole (Facoltativo):

      L'Amazon Resource Name (ARN) del ruolo AWS AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

    • EnvironmentName (Obbligatorio):

      Nome dell'MWAAambiente Amazon che desideri valutare.

  4. Seleziona Esegui.

  5. L'automazione si avvia.

  6. Il documento esegue le seguenti operazioni:

    • GetMWAAEnvironmentDetails:

      Recupera i dettagli dell'MWAAambiente Amazon. Se questo passaggio fallisce, il processo di automazione si interromperà e verrà visualizzato come. Failed

    • CheckIAMPermissionsOnExecutionRole:

      Verifica che il ruolo di esecuzione disponga delle autorizzazioni richieste per le risorse AmazonMWAA, Amazon S3 CloudWatch CloudWatch, Logs e Amazon. SQS Se rileva una chiave gestita dal cliente AWS Key Management Service (AWS KMS), l'automazione convalida le autorizzazioni richieste dalla chiave. Questo passaggio utilizza il iam:SimulateCustomPolicy API per accertare se il ruolo di esecuzione dell'automazione soddisfa tutte le autorizzazioni richieste.

    • CheckKMSPolicyOnKMSKey:

      Verifica se la politica della AWS KMS chiave consente all'MWAAambiente Amazon di utilizzare la chiave per crittografare i CloudWatch log. Se la AWS KMS chiave è AWS gestita, l'automazione salta questo controllo.

    • CheckIfRequiredLogGroupsExists:

      Verifica se esistono i gruppi di CloudWatch log richiesti per l'MWAAambiente Amazon. In caso contrario, l'automazione verifica CloudTrail eventuali CreateLogGroup DeleteLogGroup eventi. Questo passaggio verifica anche la presenza di CreateLogGroup eventi.

    • BranchOnLogGroupsFindings:

      Filiali basate sull'esistenza di gruppi di CloudWatch log relativi all'MWAAambiente Amazon. Se esiste almeno un gruppo di log, l'automazione lo analizza per individuare gli errori. Se non sono presenti gruppi di log, l'automazione salta il passaggio successivo.

    • CheckForErrorsInLogGroups:

      Analizza i gruppi di CloudWatch log per individuare gli errori.

    • GetRequiredEndPointsDetails:

      Recupera gli endpoint di servizio utilizzati dall'ambiente Amazon. MWAA

    • CheckNetworkConfiguration:

      Verifica che la configurazione di rete MWAA dell'ambiente Amazon soddisfi i requisiti, inclusi i controlli sui gruppi di sicurezza, la reteACLs, le sottoreti e le configurazioni delle tabelle di routing.

    • CheckEndpointsConnectivity:

      Richiama l'automazione AWSSupport-ConnectivityTroubleshooter secondaria per convalidare la connettività MWAA di Amazon agli endpoint richiesti.

    • CheckS3BlockPublicAccess:

      Verifica se il bucket Amazon S3 dell'MWAAambiente Amazon è Block Public Access abilitato ed esamina anche le impostazioni generali di Amazon S3 Block Public Access dell'account.

    • GenerateReport:

      Raccoglie informazioni dall'automazione e stampa il risultato o l'output di ogni passaggio.

  7. Al termine, consulta la sezione Output per i risultati dettagliati dell'esecuzione:

    • Verifica delle autorizzazioni del ruolo di esecuzione MWAA dell'ambiente Amazon:

      Verifica se il ruolo di esecuzione dispone delle autorizzazioni richieste per le risorse AmazonMWAA, Amazon S3 CloudWatch CloudWatch, Logs e Amazon. SQS Se viene rilevata una AWS KMS chiave Customer Managed, l'automazione convalida le autorizzazioni richieste dalla chiave.

    • Verifica della politica AWS KMS chiave MWAA dell'ambiente Amazon:

      Verifica se il ruolo di esecuzione possiede le autorizzazioni necessarie per le risorse Amazon, Amazon MWAA S3, CloudWatch Logs e Amazon. CloudWatch SQS Inoltre, se viene rilevata una AWS KMS chiave Customer Managed, l'automazione verifica le autorizzazioni richieste dalla chiave.

    • Verifica dei gruppi di CloudWatch log MWAA dell'ambiente Amazon:

      Verifica se esistono i gruppi di CloudWatch log richiesti per l'MWAAambiente Amazon. In caso contrario, l'automazione verifica CloudTrail la localizzazione CreateLogGroup e DeleteLogGroup gli eventi.

    • Verifica delle tabelle di MWAA routing dell'ambiente Amazon:

      Verifica se le tabelle di VPC routing Amazon nell'MWAAambiente Amazon sono configurate correttamente.

    • Verifica dei gruppi di sicurezza MWAA dell'ambiente Amazon:

      Verifica se l'MWAAambiente Amazon I gruppi VPC di sicurezza Amazon sono configurati correttamente.

    • Verifica dell'MWAAambiente Amazon NetworkACLs:

      Verifica se i gruppi VPC di sicurezza Amazon nell'MWAAambiente Amazon sono configurati correttamente.

    • Verifica delle sottoreti MWAA dell'ambiente Amazon:

      Verifica se le sottoreti MWAA dell'ambiente Amazon sono private.

    • Verifica della connettività degli endpoint richiesta MWAA dall'ambiente Amazon:

      Verifica se l'MWAAambiente Amazon può accedere agli endpoint richiesti. A tal fine, l'automazione richiama l'automazione. AWSSupport-ConnectivityTroubleshooter

    • Verifica del bucket Amazon S3 in MWAA ambiente Amazon:

      Verifica se il bucket Amazon S3 dell'MWAAambiente Amazon è Block Public Access abilitato ed esamina anche le impostazioni di Amazon S3 Block Public Access dell'account.

    • La verifica dei CloudWatch log MWAA dell'ambiente Amazon raggruppa gli errori:

      Analizza i gruppi di CloudWatch log esistenti dell'MWAAambiente Amazon per individuare gli errori.

Riferimenti

Systems Manager Automation