翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWSSupport-TroubleshootECSTaskFailedToStart
説明
AWSSupport-TroubleshootECSTaskFailedToStart
ランブックは、Amazon ECSクラスター内の Amazon Elastic Container Service (Amazon ECS) タスクが起動に失敗した理由をトラブルシューティングするのに役立ちます。このランブックは、開始に失敗したタスク AWS リージョン と同じ で実行する必要があります。ランブックは、タスクの開始を妨げる可能性がある次のような一般的な問題を分析します。
-
設定済みのコンテナレジストリーへのネットワーク接続
-
タスク実行ロールに必要なIAMアクセス許可がない
-
VPC エンドポイント接続
-
セキュリティグループのルール設定
-
AWS Secrets Manager シークレットリファレンス
-
ログ作成設定
注記
分析によってネットワーク接続をテストする必要があると判断された場合、Lambda 関数と必要なIAMロールがアカウントに作成されます。これらのリソースは、失敗したタスクのネットワーク接続をシミュレートするために使用されます。自動化は、不要になったらリソースを削除します。ただし、自動化がリソースの削除に失敗した場合は、手動で削除する必要があります。
ドキュメントタイプ
Automation
[所有者]
Amazon
[Platforms] (プラットフォーム)
Linux、macOS、Windows
パラメータ
-
AutomationAssumeRole
型: 文字列
説明: (オプション) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする () ロールARNの AWS Identity and Access Management Amazon リソースネーム (IAM)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。
-
ClusterName
型: 文字列
説明: (必須) タスクの開始に失敗した Amazon ECSクラスターの名前。
-
CloudwatchRetentionPeriod
型: 整数
説明: (オプション) Amazon CloudWatch Logs に保存される Lambda 関数ログの保持期間。日数。これが必要なのは、分析の結果、ネットワーク接続をテストする必要があると判断された場合のみです。
有効な値: 1 | 3 | 5 | 7 | 14 | 30 | 60 | 90
デフォルト: 30
-
TaskId
型: 文字列
説明: (必須) 失敗したタスクの ID。最後に失敗したタスクを使用してください。
必要なIAMアクセス許可
AutomationAssumeRole
パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。
-
cloudtrail:LookupEvents
-
ec2:DeleteNetworkInterface
-
ec2:DescribeInstances
-
ec2:DescribeInstanceAttribute
-
ec2:DescribeIamInstanceProfileAssociations
-
ec2:DescribeSecurityGroups
-
ec2:DescribeNetworkAcls
-
ec2:DescribeNetworkInterfaces
-
ec2:DescribeRouteTables
-
ec2:DescribeSubnets
-
ec2:DescribeVpcEndpoints
-
ec2:DescribeVpcs
-
ecr:DescribeImages
-
ecr:GetRepositoryPolicy
-
ecs:DescribeContainerInstances
-
ecs:DescribeServices
-
ecs:DescribeTaskDefinition
-
ecs:DescribeTasks
-
iam:AttachRolePolicy
-
iam:CreateRole
-
iam:DeleteRole
-
iam:DetachRolePolicy
-
iam:GetInstanceProfile
-
iam:GetRole
-
iam:ListRoles
-
iam:PassRole
-
iam:SimulateCustomPolicy
-
iam:SimulatePrincipalPolicy
-
kms:DescribeKey
-
lambda:CreateFunction
-
lambda:DeleteFunction
-
lambda:GetFunctionConfiguration
-
lambda:InvokeFunction
-
lambda:TagResource
-
logs:DescribeLogGroups
-
logs:PutRetentionPolicy
-
secretsmanager:DescribeSecret
-
ssm:DescribeParameters
-
sts:GetCallerIdentity
ドキュメントステップ
-
aws:executeScript
- オートメーションを開始したユーザーまたはロールに必要なIAMアクセス許可があることを確認します。このランブックを使用するための十分な権限がない場合は、不足している必須権限が自動化の出力に含まれます。 -
aws:branch
- ランブックに必要なすべてのアクションに対する権限があるかどうかに基づいて分岐させます。 -
aws:executeScript
- 分析によってネットワーク接続をテストする必要があると判断された場合VPC、 に Lambda 関数を作成します。 -
aws:branch
- 前のステップの結果に基づいて分岐させます。 -
aws:executeScript
- タスクの起動に失敗した潜在的原因を分析します。 -
aws:executeScript
- この自動化によって作成されたリソースを削除します。 -
aws:executeScript
- 分析結果をコンソールに返すように自動化の出力をフォーマットします。このステップの後、自動化が完了する前に分析を確認できます。 -
aws:branch
- Lambda 関数と関連リソースが作成され、削除する必要があるかどうかに基づいて分岐させます。 -
aws:sleep
- 30 分間スリープ状態になるため、Lambda 関数の エラスティックネットワークインターフェイスを削除できます。 -
aws:executeScript
- Lambda 関数のネットワークインターフェイスを削除します。 -
aws:executeScript
- Lambda 関数のネットワークインターフェイス削除ステップの出力をフォーマットします。