AWSSupport-TroubleshootECSTaskFailedToStart - AWS Systems Manager オートメーションランブックリファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSSupport-TroubleshootECSTaskFailedToStart

説明

AWSSupport-TroubleshootECSTaskFailedToStart ランブックは、Amazon ECS クラスター内の Amazon Elastic Container Service (Amazon ECS) タスクが起動に失敗した理由をトラブルシューティングするのに役立ちます。このランブックは、開始に失敗したタスク AWS リージョン と同じ で実行する必要があります。ランブックは、タスクの開始を妨げる可能性がある次のような一般的な問題を分析します。

  • 設定済みのコンテナレジストリーへのネットワーク接続

  • タスク実行ロールに必要な IAM 権限の欠落

  • VPC エンドポイント接続

  • セキュリティグループのルール設定

  • AWS Secrets Manager シークレットリファレンス

  • ログ作成設定

注記

分析の結果、ネットワーク接続をテストする必要があると判断された場合は、Lambda 関数と必要な IAM ロールがアカウントに作成されます。これらのリソースは、失敗したタスクのネットワーク接続をシミュレートするために使用されます。自動化は、不要になったらリソースを削除します。ただし、自動化がリソースの削除に失敗した場合は、手動で削除する必要があります。

このオートメーションを実行する (コンソール)

ドキュメントタイプ

Automation

[所有者]

Amazon

[Platforms] (プラットフォーム)

Linux、macOS、Windows

パラメータ

  • AutomationAssumeRole

    型: 文字列

    説明: (オプション) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。

  • ClusterName

    型: 文字列

    説明: (必須) タスクが起動に失敗した Amazon ECS クラスターの名前。

  • CloudwatchRetentionPeriod

    タイプ: 整数

    説明: (オプション) Amazon CloudWatch Logs に保存される Lambda 関数ログの保持期間。日数。これが必要なのは、分析の結果、ネットワーク接続をテストする必要があると判断された場合のみです。

    有効な値: 1 | 3 | 5 | 7 | 14 | 30 | 60 | 90

    デフォルト: 30

  • TaskId

    型: 文字列

    説明: (必須) 失敗したタスクの ID。最後に失敗したタスクを使用してください。

必要な IAM アクセス許可

AutomationAssumeRole パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。

  • cloudtrail:LookupEvents

  • ec2:DeleteNetworkInterface

  • ec2:DescribeInstances

  • ec2:DescribeInstanceAttribute

  • ec2:DescribeIamInstanceProfileAssociations

  • ec2:DescribeSecurityGroups

  • ec2:DescribeNetworkAcls

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribeRouteTables

  • ec2:DescribeSubnets

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcs

  • ecr:DescribeImages

  • ecr:GetRepositoryPolicy

  • ecs:DescribeContainerInstances

  • ecs:DescribeServices

  • ecs:DescribeTaskDefinition

  • ecs:DescribeTasks

  • iam:AttachRolePolicy

  • iam:CreateRole

  • iam:DeleteRole

  • iam:DetachRolePolicy

  • iam:GetInstanceProfile

  • iam:GetRole

  • iam:ListRoles

  • iam:PassRole

  • iam:SimulateCustomPolicy

  • iam:SimulatePrincipalPolicy

  • kms:DescribeKey

  • lambda:CreateFunction

  • lambda:DeleteFunction

  • lambda:GetFunctionConfiguration

  • lambda:InvokeFunction

  • lambda:TagResource

  • logs:DescribeLogGroups

  • logs:PutRetentionPolicy

  • secretsmanager:DescribeSecret

  • ssm:DescribeParameters

  • sts:GetCallerIdentity

ドキュメントステップ

  • aws:executeScript - 自動化を開始したユーザーまたはロールに必要な IAM 権限があることを確認します。このランブックを使用するための十分な権限がない場合は、不足している必須権限が自動化の出力に含まれます。

  • aws:branch - ランブックに必要なすべてのアクションに対する権限があるかどうかに基づいて分岐させます。

  • aws:executeScript - 分析によりネットワーク接続をテストする必要があると判断された場合は、VPC に Lambda 関数を作成します。

  • aws:branch - 前のステップの結果に基づいて分岐させます。

  • aws:executeScript - タスクの起動に失敗した潜在的原因を分析します。

  • aws:executeScript - この自動化によって作成されたリソースを削除します。

  • aws:executeScript - 分析結果をコンソールに返すように自動化の出力をフォーマットします。このステップの後、自動化が完了する前に分析を確認できます。

  • aws:branch - Lambda 関数と関連リソースが作成され、削除する必要があるかどうかに基づいて分岐させます。

  • aws:sleep - 30 分間スリープ状態になるため、Lambda 関数の エラスティックネットワークインターフェイスを削除できます。

  • aws:executeScript - Lambda 関数のネットワークインターフェイスを削除します。

  • aws:executeScript - Lambda 関数のネットワークインターフェイス削除ステップの出力をフォーマットします。