AWSSupport-TroubleshootManagedInstance - AWS Systems Manager オートメーションランブックリファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSSupport-TroubleshootManagedInstance

説明

AWSSupport-TroubleshootManagedInstance ランブックは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスが AWS Systems Manager によって管理対象として報告されない理由を判断するのに役立ちます。このランブックでは、セキュリティグループルール、VPC エンドポイント、ネットワークアクセスコントロールリスト (ACL) ルール、ルートテーブルなど、インスタンスの VPC 設定を確認します。また、必要なアクセス許可を含む AWS Identity and Access Management (IAM) インスタンスプロファイルがインスタンスにアタッチされていることを確認します。

重要

このオートメーションランブックは、IPv6 ルールを評価しません。

この自動化を実行する (コンソール)

ドキュメントタイプ

Automation

所有者

Amazon

[Platforms] (プラットフォーム)

Linux、macOS、Windows

パラメータ

  • AutomationAssumeRole

    型: 文字列

    説明: (オプション) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。

  • InstanceId

    型: 文字列

    説明: (必須) Systems Manager によって管理対象として報告されない Amazon EC2 インスタンスの ID。

必要な IAM アクセス許可

AutomationAssumeRole パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。

  • ssm:DescribeAutomationExecutions

  • ssm:DescribeAutomationStepExecutions

  • ssm:DescribeInstanceInformation

  • ssm:DescribeInstanceProperties

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ssm:GetDocument

  • ssm:ListDocuments

  • ssm:StartAutomationExecution

  • iam:ListRoles

  • iam:GetInstanceProfile

  • iam:ListAttachedRolePolicies

  • ec2:DescribeInstances

  • ec2:DescribeNetworkAcls

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeVpcEndpoints

ドキュメントステップ

  • aws:executeScript- インスタンスの PingStatus を収集します。

  • aws:branch - インスタンスが Systems Manager によって管理対象として既に報告されているかどうかに基づいて分岐させます。

  • aws:executeAwsApi - VPC 設定を含むインスタンスの詳細を収集します。

  • aws:executeScript - 該当する場合、Systems Manager で使用するためにデプロイされている VPC エンドポイントに関する追加情報を収集し、VPC エンドポイントにアタッチされているセキュリティグループが、インスタンスからの TCP ポート 443 でのインバウンドトラフィックを許可していることを確認します。

  • aws:executeScript - ルートテーブルが VPC エンドポイントまたはパブリック Systems Manager エンドポイントへのトラフィックを許可しているかどうかを確認します。

  • aws:executeScript - ネットワーク ACL ルールが VPC エンドポイントまたはパブリック Systems Manager エンドポイントへのトラフィックを許可しているかどうかを確認します。

  • aws:executeScript - VPC エンドポイントまたはパブリック Systems Manager エンドポイントへのアウトバウンドトラフィックが、インスタンスに関連付けられたセキュリティグループによって許可されているかどうかを確認します。

  • aws:executeScript - インスタンスにアタッチされたインスタンスプロファイルに、必要な権限を提供する管理ポリシーが含まれているかどうかを確認します。

  • aws:branch - インスタンスのオペレーティングシステムに基づいて分岐させます。

  • aws:executeScript - ssmagent-toolkit-linux シェルスクリプトへのリファレンスを提供します。

  • aws:executeScript - ssmagent-toolkit-windows PowerShell スクリプトへの参照を提供します。

  • aws:executeScript - 自動化の最終出力を生成します。

  • aws:executeScript - インスタンスの PingStatusOnline の場合、そのインスタンスはすでに Systems Manager によって管理されていることを返します。