翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWSSupport-TroubleshootMWAAEnvironmentCreation
説明
AWSSupport-TroubleshootMWAAEnvironmentCreation
ランブックには、Amazon Managed Workflows for Apache Airflow (Amazon MWAA) の環境作成の問題をデバッグし、障害の特定に役立つよう、文書化された理由とともにチェックを実行するための情報が記載されています。
動作の仕組み
ランブックは次のステップを実行します。
-
Amazon MWAA環境の詳細を取得します。
-
実行ロールのアクセス許可を検証します。
-
環境が、指定された AWS KMS キーをログ記録に使用するアクセス許可を持っているかどうか、および必要な CloudWatch ロググループが存在するかどうかを確認します。
-
提供されたロググループのログを解析して、エラーを見つけます。
-
ネットワーク設定をチェックして、Amazon MWAA環境が必要なエンドポイントにアクセスできるかどうかを確認します。
-
検出結果を含むレポートを生成します。
ドキュメントタイプ
Automation
[所有者]
Amazon
[Platforms] (プラットフォーム)
/
必要なIAMアクセス許可
AutomationAssumeRole
パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。
-
airflow:GetEnvironment
-
cloudtrail:LookupEvents
-
ec2:DescribeNatGateways
-
ec2:DescribeNetworkAcls
-
ec2:DescribeNetworkInterfaces
-
ec2:DescribeRouteTables
-
ec2:DescribeSecurityGroups
-
ec2:DescribeSubnets
-
ec2:DescribeVpcEndpoints
-
iam:GetPolicy
-
iam:GetPolicyVersion
-
iam:GetRolePolicy
-
iam:ListAttachedRolePolicies
-
iam:ListRolePolicies
-
iam:SimulateCustomPolicy
-
kms:GetKeyPolicy
-
kms:ListAliases
-
logs:DescribeLogGroups
-
logs:FilterLogEvents
-
s3:GetBucketAcl
-
s3:GetBucketPolicyStatus
-
s3:GetPublicAccessBlock
-
s3control:GetPublicAccessBlock
-
ssm:StartAutomationExecution
-
ssm:GetAutomationExecution
Instructions
次の手順に従って自動化を設定します。
-
Systems Manager
AWSSupport-TroubleshootMWAAEnvironmentCreation
の「ドキュメント」で に移動します。 -
[Execute automation] (オートメーションを実行) を選択します。
-
入力パラメータには、次のように入力します。
-
AutomationAssumeRole (オプション):
Systems Manager Automation がユーザーに代わってアクションを実行できるようにする () ロールARNの Amazon リソースネーム AWS AWS Identity and Access Management (IAM)。ロールが指定されていない場合、Systems Manager Automation は、このランブックを開始するユーザーのアクセス許可を使用します。
-
EnvironmentName (必須):
評価する Amazon MWAA環境の名前。
-
-
[実行] を選択します。
-
自動化が開始されます。
-
ドキュメントは以下のステップを実行します。
-
GetMWAAEnvironmentDetails:
Amazon MWAA環境の詳細を取得します。このステップが失敗すると、自動化プロセスは停止し、 として表示されます
Failed
。 -
CheckIAMPermissionsOnExecutionRole:
実行ロールに Amazon 、Amazon S3MWAA、 CloudWatch Logs、 CloudWatchおよび Amazon SQSリソースに必要なアクセス許可があることを確認します。 Amazon S3 カスタマーマネージド AWS Key Management Service (AWS KMS) キーが検出されると、オートメーションはキーに必要なアクセス許可を検証します。このステップでは、 を使用して
iam:SimulateCustomPolicy
API、オートメーション実行ロールがすべての必要なアクセス許可を満たしているかどうかを確認します。 -
CheckKMSPolicyOnKMSKey:
AWS KMS キーポリシーで、Amazon MWAA環境が CloudWatch ログの暗号化に キーを使用することが許可されているかどうかを確認します。 AWS KMS キーが AWS管理の場合、オートメーションはこのチェックをスキップします。
-
CheckIfRequiredLogGroupsExists:
Amazon MWAA環境に必要な CloudWatch ロググループが存在するかどうかを確認します。そうでない場合、オートメーションは
CreateLogGroup
および CloudTrailDeleteLogGroup
イベントをチェックします。このステップでは、CreateLogGroup
イベントもチェックします。 -
BranchOnLogGroupsFindings:
Amazon MWAA環境に関連する CloudWatch ロググループの存在に基づいて分岐します。少なくとも 1 つのロググループが存在する場合、オートメーションはそれを解析してエラーを見つけます。ロググループが存在しない場合、オートメーションは次のステップをスキップします。
-
CheckForErrorsInLogGroups:
CloudWatch ロググループを解析してエラーを見つけます。
-
GetRequiredEndPointsDetails:
Amazon MWAA環境で使用されるサービスエンドポイントを取得します。
-
CheckNetworkConfiguration:
Amazon MWAA環境のネットワーク設定が、セキュリティグループ、ネットワーク、ACLsサブネット、ルートテーブル設定のチェックなどの要件を満たしていることを確認します。
-
CheckEndpointsConnectivity:
AWSSupport-ConnectivityTroubleshooter
子オートメーションを呼び出して、必要なエンドポイントへの Amazon MWAAの接続を検証します。 -
CheckS3BlockPublicAccess:
Amazon MWAA環境の Amazon S3 バケットが有効になってい
Block Public Access
るかどうかを確認し、アカウントの全体的な Amazon S3 パブリックアクセスブロック設定も確認します。 -
GenerateReport:
自動化から情報を収集し、各ステップの結果または出力を出力します。
-
-
完了したら、出力セクションで実行の詳細な結果を確認します。
-
Amazon MWAA環境実行ロールのアクセス許可の確認:
実行ロールに Amazon 、Amazon S3MWAA、 CloudWatch Logs、 CloudWatchおよび Amazon SQSリソースに必要なアクセス許可があるかどうかを確認します。 Amazon S3 カスタマーマネージド AWS KMS キーが検出されると、オートメーションはキーに必要なアクセス許可を検証します。
-
Amazon MWAA環境 AWS KMS キーポリシーの確認:
実行ロールが Amazon 、Amazon S3MWAA、 CloudWatch Logs、 CloudWatchおよび Amazon SQSリソースに必要なアクセス許可を持っているかどうかを確認します。 Amazon S3 さらに、カスタマーマネージド AWS KMS キーが検出されると、オートメーションはキーに必要なアクセス許可をチェックします。
-
Amazon MWAA環境 CloudWatch ロググループの確認:
Amazon MWAA環境に必要な CloudWatch ロググループが存在するかどうかを確認します。そうでない場合、自動化は
CreateLogGroup
イベントとDeleteLogGroup
イベント CloudTrail を検索します。 -
Amazon MWAA環境のルートテーブルの確認:
Amazon MWAA環境の Amazon VPCルートテーブルが正しく設定されているかどうかを確認します。
-
Amazon MWAA環境のセキュリティグループの確認:
Amazon MWAA環境の Amazon VPC セキュリティグループが適切に設定されているかどうかを確認します。
-
Amazon MWAA環境ネットワークの確認ACLs:
Amazon MWAA環境内の Amazon VPC セキュリティグループが正しく設定されているかどうかを確認します。
-
Amazon MWAA環境サブネットの確認:
Amazon MWAA環境のサブネットがプライベートであるかどうかを検証します。
-
Amazon MWAA環境に必要なエンドポイント接続の確認:
Amazon MWAA環境が必要なエンドポイントにアクセスできるかどうかを確認します。この目的のために、オートメーションは
AWSSupport-ConnectivityTroubleshooter
オートメーションを呼び出します。 -
Amazon MWAA環境の Amazon S3 バケットの確認:
Amazon MWAA環境の Amazon S3 バケットが有効になってい
Block Public Access
るかどうかを確認し、アカウントの Amazon S3 パブリックアクセスブロック設定も確認します。 -
Amazon MWAA環境 CloudWatch ロググループエラーの確認:
Amazon MWAA環境の既存の CloudWatch ロググループを解析して、エラーを見つけます。
-
リファレンス
Systems Manager Automation