`AWSSupport-SetupIPMonitoringFromVPC`

説明

AWSSupport-SetupIPMonitoringFromVPC は、指定されたサブネットに Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを作成し、ping、、tracerouteMTR、tracetcp テストを継続的に実行して、選択したターゲット IPs (IPv4 または IPv6) をモニタリングします。結果は Amazon CloudWatch Logs ログに保存され、メトリクスフィルターが適用されて CloudWatch 、ダッシュボード内のレイテンシーとパケット損失の統計をすばやく視覚化します。

追加情報

CloudWatch Logs データは、ネットワークのトラブルシューティングやパターン/傾向の分析に使用できます。さらに、パケット損失やレイテンシーがしきい値に達したときに Amazon SNS通知で CloudWatch アラームを設定できます。また、でケースを開くときにデータを使用して、問題をすばやく分離し AWS Support、ネットワークの問題を調査するときに解決までの時間を短縮することもできます。

注記

AWSSupport-SetupIPMonitoringFromVPC によって作成されたリソースをクリーンアップするには、ランブック AWSSupport-TerminateIPMonitoringFromVPC を使用できます。詳細については、「AWSSupport-TerminateIPMonitoringFromVPC」を参照してください。

このオートメーションを実行する (コンソール)

ドキュメントタイプ

Automation

[所有者]

Amazon

[Platforms] (プラットフォーム)

Linux、macOS, Windows

パラメータ

AutomationAssumeRole

型: 文字列

説明: (オプション) Systems Manager Automation が AWS Identity and Access Management ユーザーに代わってアクションを実行できるようにする () ロールARNの Amazon リソースネーム (IAM）。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。
CloudWatchLogGroupNamePrefix

型: 文字列

デフォルト: / AWSSupport-SetupIPMonitoringFromVPC

説明: (オプション) テスト結果用に作成された各 CloudWatch ロググループに使用されるプレフィックス。
CloudWatchLogGroupRetentionInDays

型: 文字列

有効な値: 1 | 3 | 5 | 7 | 14 | 30 | 60 | 90 | 120 | 150 | 180 | 365 | 400 | 545 | 731 | 1827 | 3653

デフォルト: 7

説明: (オプション) ネットワーク監視結果を保持する日数。
InstanceType

型: 文字列

有効な値: t2.micro | t2.small | t2.medium | t2.large | t3.micro | t3.small | t3.medium | t3.large | t4g.micro | t4g.small | t4g.medium | t4g.large

デフォルト: t2.micro

説明: (オプション) EC2インスタンスのEC2Rescueインスタンスタイプ。推奨サイズ: t2.micro。
SubnetId

型: 文字列

説明: (必須) インスタンスの監視に使用するサブネット ID。プライベートサブネットを指定する場合、モニターインスタンスがテストをセットアップできるようにインターネットアクセスがあることを確認する必要があります (つまり、 CloudWatch Logs エージェントをインストールし、Systems Manager ととやり取りします CloudWatch）。
TargetIPs

型: 文字列

説明: (必須) モニタリングIPv6sする IPv4sおよび/またはのカンマ区切りリスト。スペースは使用できません。最大サイズは 255 文字です。無効な IP を指定すると自動化は失敗し、テスト設定がロールバックされることに注意してください。

必要なIAMアクセス許可

AutomationAssumeRole パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。

オートメーションを実行するユーザーには、mazonSSMAutomationロールIAM管理ポリシーがアタッチされていることをお勧めします。さらに、ユーザーは、ユーザーアカウント、グループ、またはロールに次のポリシーをアタッチする必要があります。



                {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:CreateRole",
                "iam:CreateInstanceProfile",
                "iam:GetRole",
                "iam:GetInstanceProfile",
                "iam:DetachRolePolicy",
                "iam:AttachRolePolicy",
                "iam:PassRole",
                "iam:AddRoleToInstanceProfile",
                "iam:RemoveRoleFromInstanceProfile",
                "iam:DeleteRole",
                "iam:DeleteInstanceProfile",
                "iam:PutRolePolicy",
                "iam:DeleteRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::
                AWS_account_ID
                :role/AWSSupport/SetupIPMonitoringFromVPC_*",
                "arn:aws:iam::
                AWS_account_ID
                :instance-profile/AWSSupport/SetupIPMonitoringFromVPC_*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "iam:DetachRolePolicy",
                "iam:AttachRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::aws:policy/service-role/AmazonSSMManagedInstanceCore"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "cloudwatch:DeleteDashboards"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeSubnets",
                "ec2:DescribeInstanceTypes",
                "ec2:RunInstances",
                "ec2:TerminateInstances",
                "ec2:DescribeInstanceStatus"
                "ec2:CreateTags",
                "ec2:AssignIpv6Addresses",
                "ec2:DescribeTags",
                "ec2:DescribeInstances",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ssm:GetParameter",
                "ssm:SendCommand",
                "ssm:ListCommands",
                "ssm:ListCommandInvocations",
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

ドキュメントステップ

aws:executeAwsApi - 指定されたサブネットを説明します。
aws:branch - T argetIPs 入力を評価します。

（IPv6) T に argetIPs が含まれている場合IPv6：

aws:assertAwsResourceProperty - 提供されたサブネットにIPv6プールが関連付けられていることを確認します
aws:executeScript - 最新の Amazon Linux 2 のインスタンスタイプのアーキテクチャとパブリックパラメータパスを取得する AMI.
aws:executeAwsApi - 最新の Amazon Linux 2 を取得する AMI Parameter Store から。
aws:executeAwsApi - サブネットのでテストのセキュリティグループを作成しますVPC。

(クリーンアップ) セキュリティグループの作成に失敗した場合:

aws:executeAwsApi - 自動化によって作成されたセキュリティグループがあれば削除します。
aws:executeAwsApi - テストセキュリティグループ内のすべてのアウトバウンドトラフィックを許可します。

(クリーンアップ) セキュリティグループ Egress ルールの作成に失敗した場合:

aws:executeAwsApi - 自動化によって作成されたセキュリティグループがあれば削除します。
aws:executeAwsApi - テストEC2インスタンスのIAMロールを作成する

(クリーンアップ) ロールの作成に失敗した場合:
1. aws:executeAwsApi - オートメーションによって作成されたIAMロールが存在する場合は、削除します。
2. aws:executeAwsApi - 自動化によって作成されたセキュリティグループがあれば削除します。
aws:executeAwsApi - A mazonSSMManagedInstanceCore マネージドポリシーをアタッチする

(クリーンアップ) ポリシーの添付が失敗した場合:
1. aws:executeAwsApi - アタッチされている場合は、オートメーションによって作成されたロールから A mazonSSMManagedInstanceCore マネージドポリシーをデタッチします。
2. aws:executeAwsApi - オートメーションによって作成されたIAMロールを削除します。
3. aws:executeAwsApi - 自動化によって作成されたセキュリティグループがあれば削除します。
aws:executeAwsApi - インラインポリシーをアタッチして、 CloudWatch ロググループの保持の設定と CloudWatch ダッシュボードの作成を許可します。

(クリーンアップ) インラインポリシーの添付に失敗した場合:
1. aws:executeAwsApi - 作成された場合は、自動化によって作成されたロールから CloudWatch インラインポリシーを削除します。
2. aws:executeAwsApi - オートメーションによって作成されたロールから A mazonSSMManagedInstanceCore マネージドポリシーをデタッチします。
3. aws:executeAwsApi - オートメーションによって作成されたIAMロールを削除します。
4. aws:executeAwsApi - 自動化によって作成されたセキュリティグループがあれば削除します。
aws:executeAwsApi - IAMインスタンスプロファイルを作成します。

(クリーンアップ) インスタンスプロファイルの作成に失敗した場合:
1. aws:executeAwsApi - オートメーションによって作成されたIAMインスタンスプロファイルが存在する場合は削除します。
2. aws:executeAwsApi - 自動化によって作成されたロールから CloudWatch インラインポリシーを削除します。
3. aws:executeAwsApi - オートメーションによって作成されたロールから A mazonSSMManagedInstanceCore マネージドポリシーを削除します。
4. aws:executeAwsApi - オートメーションによって作成されたIAMロールを削除します。
5. aws:executeAwsApi - 自動化によって作成されたセキュリティグループがあれば削除します。
aws:executeAwsApi - IAMインスタンスプロファイルをIAMロールに関連付けます。

(クリーンアップ) インスタンスプロファイルとロールの関連づけに失敗した場合:
1. aws:executeAwsApi - 関連付けられている場合は、ロールからIAMインスタンスプロファイルを削除します。
2. aws:executeAwsApi - オートメーションによって作成されたIAMインスタンスプロファイルを削除します。
3. aws:executeAwsApi - 自動化によって作成されたロールから CloudWatch インラインポリシーを削除します。
4. aws:executeAwsApi - オートメーションによって作成されたロールから A mazonSSMManagedInstanceCore マネージドポリシーをデタッチします。
5. aws:executeAwsApi - オートメーションによって作成されたIAMロールを削除します。
6. aws:executeAwsApi - 自動化によって作成されたセキュリティグループがあれば削除します。
aws:sleep - インスタンスプロファイルが利用可能になるのを待ちます。
aws:runInstances - 指定されたサブネット内にテストインスタンスを作成し、以前に作成したインスタンスプロファイルを追加します。

(クリーンアップ) ステップが失敗した場合:
1. aws:changeInstanceState - テストインスタンスを終了します。
2. aws:executeAwsApi - ロールからIAMインスタンスプロファイルを削除します。
3. aws:executeAwsApi - オートメーションによって作成されたIAMインスタンスプロファイルを削除します。
4. aws:executeAwsApi - 自動化によって作成されたロールから CloudWatch インラインポリシーを削除します。
5. aws:executeAwsApi - オートメーションによって作成されたロールから A mazonSSMManagedInstanceCore マネージドポリシーをデタッチします。
6. aws:executeAwsApi - オートメーションによって作成されたIAMロールを削除します。
7. aws:executeAwsApi - 自動化によって作成されたセキュリティグループがあれば削除します。
aws:branch - T argetIPs 入力を評価します。

（IPv6) T に argetIPs が含まれている場合IPv6：

aws:executeAwsApi - テストインスタンスIPv6にを割り当てます。
aws:waitForAwsResourceProperty - テストインスタンスがマネージドインスタンスになるのを待ちます。

(クリーンアップ) ステップが失敗した場合:
1. aws:changeInstanceState - テストインスタンスを終了します。
2. aws:executeAwsApi - ロールからIAMインスタンスプロファイルを削除します。
3. aws:executeAwsApi - オートメーションによって作成されたIAMインスタンスプロファイルを削除します。
4. aws:executeAwsApi - 自動化によって作成されたロールから CloudWatch インラインポリシーを削除します。
5. aws:executeAwsApi - オートメーションによって作成されたロールから A mazonSSMManagedInstanceCore マネージドポリシーをデタッチします。
6. aws:executeAwsApi - オートメーションによって作成されたIAMロールを削除します。
7. aws:executeAwsApi - 自動化によって作成されたセキュリティグループがあれば削除します。
aws:runCommand - インストールテストの前提条件:

(クリーンアップ) ステップが失敗した場合:
1. aws:changeInstanceState - テストインスタンスを終了します。
2. aws:executeAwsApi - ロールからIAMインスタンスプロファイルを削除します。
3. aws:executeAwsApi - オートメーションによって作成されたIAMインスタンスプロファイルを削除します。
4. aws:executeAwsApi - 自動化によって作成されたロールから CloudWatch インラインポリシーを削除します。
5. aws:executeAwsApi - オートメーションによって作成されたロールから A mazonSSMManagedInstanceCore マネージドポリシーをデタッチします。
6. aws:executeAwsApi - オートメーションによって作成されたIAMロールを削除します。
7. aws:executeAwsApi - 自動化によって作成されたセキュリティグループがあれば削除します。
aws:runCommand - 提供された IPsが構文的に正しいこと、IPv4および/またはIPv6アドレスであることを確認します。

(クリーンアップ) ステップが失敗した場合:
1. aws:changeInstanceState - テストインスタンスを終了します。
2. aws:executeAwsApi - ロールからIAMインスタンスプロファイルを削除します。
3. aws:executeAwsApi - オートメーションによって作成されたIAMインスタンスプロファイルを削除します。
4. aws:executeAwsApi - 自動化によって作成されたロールから CloudWatch インラインポリシーを削除します。
5. aws:executeAwsApi - オートメーションによって作成されたロールから A mazonSSMManagedInstanceCore マネージドポリシーをデタッチします。
6. aws:executeAwsApi - オートメーションによって作成されたIAMロールを削除します。
7. aws:executeAwsApi - 自動化によって作成されたセキュリティグループがあれば削除します。
aws:runCommand - 指定されたごとにMTRテストを定義しますIPs。

(クリーンアップ) ステップが失敗した場合:
1. aws:changeInstanceState - テストインスタンスを終了します。
2. aws:executeAwsApi - ロールからIAMインスタンスプロファイルを削除します。
3. aws:executeAwsApi - オートメーションによって作成されたIAMインスタンスプロファイルを削除します。
4. aws:executeAwsApi - 自動化によって作成されたロールから CloudWatch インラインポリシーを削除します。
5. aws:executeAwsApi - オートメーションによって作成されたロールから A mazonSSMManagedInstanceCore マネージドポリシーをデタッチします。
6. aws:executeAwsApi - オートメーションによって作成されたIAMロールを削除します。
7. aws:executeAwsApi - 自動化によって作成されたセキュリティグループがあれば削除します。
aws:runCommand - 提供されたごとに最初の ping テストを定義しますIPs。

(クリーンアップ) ステップが失敗した場合:
1. aws:changeInstanceState - テストインスタンスを終了します。
2. aws:executeAwsApi - ロールからIAMインスタンスプロファイルを削除します。
3. aws:executeAwsApi - オートメーションによって作成されたIAMインスタンスプロファイルを削除します。
4. aws:executeAwsApi - 自動化によって作成されたロールから CloudWatch インラインポリシーを削除します。
5. aws:executeAwsApi - オートメーションによって作成されたロールから A mazonSSMManagedInstanceCore マネージドポリシーをデタッチします。
6. aws:executeAwsApi - オートメーションによって作成されたIAMロールを削除します。
7. aws:executeAwsApi - 自動化によって作成されたセキュリティグループがあれば削除します。
aws:runCommand - 提供されたごとに 2 番目の ping テストを定義しますIPs。

(クリーンアップ) ステップが失敗した場合:
1. aws:changeInstanceState - テストインスタンスを終了します。
2. aws:executeAwsApi - ロールからIAMインスタンスプロファイルを削除します。
3. aws:executeAwsApi - オートメーションによって作成されたIAMインスタンスプロファイルを削除します。
4. aws:executeAwsApi - 自動化によって作成されたロールから CloudWatch インラインポリシーを削除します。
5. aws:executeAwsApi - オートメーションによって作成されたロールから A mazonSSMManagedInstanceCore マネージドポリシーをデタッチします。
6. aws:executeAwsApi - オートメーションによって作成されたIAMロールを削除します。
7. aws:executeAwsApi - 自動化によって作成されたセキュリティグループがあれば削除します。
aws:runCommand - 提供されたごとにトレースパステストを定義しますIPs。

(クリーンアップ) ステップが失敗した場合:
1. aws:changeInstanceState - テストインスタンスを終了します。
2. aws:executeAwsApi - ロールからIAMインスタンスプロファイルを削除します。
3. aws:executeAwsApi - オートメーションによって作成されたIAMインスタンスプロファイルを削除します。
4. aws:executeAwsApi - 自動化によって作成されたロールから CloudWatch インラインポリシーを削除します。
5. aws:executeAwsApi - オートメーションによって作成されたロールから A mazonSSMManagedInstanceCore マネージドポリシーをデタッチします。
6. aws:executeAwsApi - オートメーションによって作成されたIAMロールを削除します。
7. aws:executeAwsApi - 自動化によって作成されたセキュリティグループがあれば削除します。
aws:runCommand - 提供されたごとに traceroute テストを定義しますIPs。

(クリーンアップ) ステップが失敗した場合:
1. aws:changeInstanceState - テストインスタンスを終了します。
2. aws:executeAwsApi - ロールからIAMインスタンスプロファイルを削除します。
3. aws:executeAwsApi - オートメーションによって作成されたIAMインスタンスプロファイルを削除します。
4. aws:executeAwsApi - 自動化によって作成されたロールから CloudWatch インラインポリシーを削除します。
5. aws:executeAwsApi - オートメーションによって作成されたロールから A mazonSSMManagedInstanceCore マネージドポリシーをデタッチします。
6. aws:executeAwsApi - オートメーションによって作成されたIAMロールを削除します。
7. aws:executeAwsApi - 自動化によって作成されたセキュリティグループがあれば削除します。
aws:runCommand - CloudWatch ログを設定します。

(クリーンアップ) ステップが失敗した場合:
1. aws:changeInstanceState - テストインスタンスを終了します。
2. aws:executeAwsApi - ロールからIAMインスタンスプロファイルを削除します。
3. aws:executeAwsApi - オートメーションによって作成されたIAMインスタンスプロファイルを削除します。
4. aws:executeAwsApi - 自動化によって作成されたロールから CloudWatch インラインポリシーを削除します。
5. aws:executeAwsApi - オートメーションによって作成されたロールから A mazonSSMManagedInstanceCore マネージドポリシーをデタッチします。
6. aws:executeAwsApi - オートメーションによって作成されたIAMロールを削除します。
7. aws:executeAwsApi - 自動化によって作成されたセキュリティグループがあれば削除します。
aws:runCommand - 1 分ごとに各テストを実行するように cronjobs をスケジュールします。

(クリーンアップ) ステップが失敗した場合:
1. aws:changeInstanceState - テストインスタンスを終了します。
2. aws:executeAwsApi - ロールからIAMインスタンスプロファイルを削除します。
3. aws:executeAwsApi - オートメーションによって作成されたIAMインスタンスプロファイルを削除します。
4. aws:executeAwsApi - 自動化によって作成されたロールから CloudWatch インラインポリシーを削除します。
5. aws:executeAwsApi - オートメーションによって作成されたロールから A mazonSSMManagedInstanceCore マネージドポリシーをデタッチします。
6. aws:executeAwsApi - オートメーションによって作成されたIAMロールを削除します。
7. aws:executeAwsApi - 自動化によって作成されたセキュリティグループがあれば削除します。
aws:sleep - テストがデータを生成するのを待ちます。
aws:runCommand - 必要な CloudWatch ロググループの保持を設定します。

(クリーンアップ) ステップが失敗した場合:
1. aws:changeInstanceState - テストインスタンスを終了します。
2. aws:executeAwsApi - ロールからIAMインスタンスプロファイルを削除します。
3. aws:executeAwsApi - オートメーションによって作成されたIAMインスタンスプロファイルを削除します。
4. aws:executeAwsApi - 自動化によって作成されたロールから CloudWatch インラインポリシーを削除します。
5. aws:executeAwsApi - オートメーションによって作成されたロールから A mazonSSMManagedInstanceCore マネージドポリシーをデタッチします。
6. aws:executeAwsApi - オートメーションによって作成されたIAMロールを削除します。
7. aws:executeAwsApi - 自動化によって作成されたセキュリティグループがあれば削除します。
aws:runCommand - CloudWatch ロググループのメトリクスフィルターを設定します。

(クリーンアップ) ステップが失敗した場合:
1. aws:changeInstanceState - テストインスタンスを終了します。
2. aws:executeAwsApi - ロールからIAMインスタンスプロファイルを削除します。
3. aws:executeAwsApi - オートメーションによって作成されたIAMインスタンスプロファイルを削除します。
4. aws:executeAwsApi - 自動化によって作成されたロールから CloudWatch インラインポリシーを削除します。
5. aws:executeAwsApi - オートメーションによって作成されたロールから A mazonSSMManagedInstanceCore マネージドポリシーをデタッチします。
6. aws:executeAwsApi - オートメーションによって作成されたIAMロールを削除します。
7. aws:executeAwsApi - 自動化によって作成されたセキュリティグループがあれば削除します。
aws:runCommand - CloudWatch ダッシュボードを作成します。

(クリーンアップ) ステップが失敗した場合:
1. aws:executeAwsApi - CloudWatch ダッシュボードが存在する場合は削除します。
2. aws:changeInstanceState - テストインスタンスを終了します。
3. aws:executeAwsApi - ロールからIAMインスタンスプロファイルを削除します。
4. aws:executeAwsApi - オートメーションによって作成されたIAMインスタンスプロファイルを削除します。
5. aws:executeAwsApi - 自動化によって作成されたロールから CloudWatch インラインポリシーを削除します。
6. aws:executeAwsApi - オートメーションによって作成されたロールから A mazonSSMManagedInstanceCore マネージドポリシーをデタッチします。
7. aws:executeAwsApi - オートメーションによって作成されたIAMロールを削除します。
8. aws:executeAwsApi - 自動化によって作成されたセキュリティグループがあれば削除します。

[Outputs] (出力)

createCloudWatchDashboards.Output - CloudWatch ダッシュボードURLの。

createManagedInstance.InstanceIds - テストインスタンス ID。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWSConfigRemediation-RemoveVPCDefaultSecurityGroupRules

AWSSupport-TerminateIPMonitoringFromVPC