AWSSupport-TroubleshootSessionManager - AWS Systems Manager Referência do runbook de automação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSSupport-TroubleshootSessionManager

Descrição

O AWSSupport-TroubleshootSessionManager runbook ajuda você a solucionar problemas comuns que impedem a conexão com instâncias gerenciadas do Amazon Elastic Compute Cloud (AmazonEC2) usando o Session Manager. O Gerenciador de Sessões é um recurso de AWS Systems Manager. Este runbook verifica o seguinte:

  • Verifica se a instância está sendo executada e reportada como gerenciada pelo Systems Manager.

  • Executa o runbook AWSSupport-TroubleshootManagedInstance se a instância não estiver reportando como gerenciada pelo Systems Manager.

  • Verifica a versão do SSM Agente instalada na instância.

  • Verifica se um perfil de instância contendo uma política recomendada AWS Identity and Access Management (IAM) para o Session Manager está vinculado à EC2 instância da Amazon.

  • Coleta os registros do SSM agente da instância.

  • Analisa suas preferências do Session Manager.

  • Executa o AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 runbook para analisar a conectividade da instância com os endpoints do Session Manager, AWS Key Management Service (AWS KMS), Amazon Simple Storage Service (Amazon S3) e Amazon CloudWatch Logs (Logs). CloudWatch

Considerações

  • Não há suporte para nós gerenciados híbridos.

  • Esse runbook só verifica se uma IAM política gerenciada recomendada está anexada ao perfil da instância. Ele não analisa IAM AWS KMS as permissões contidas no perfil da sua instância.

Importante

O AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 runbook usa o VPCReachability Analyzer para analisar a conectividade de rede entre uma fonte e um ponto final de serviço. Você é cobrado por análise executada entre a origem e o destino. Para obter mais detalhes, consulte Amazon VPC Pricing.

Executar esta automação (console)

Tipo de documento

Automação

Proprietário

Amazon

Plataformas

Linux, macOS, Windows

Parâmetros

  • AutomationAssumeRole

    Tipo: string

    Descrição: (Opcional) O Amazon Resource Name (ARN) da função AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation execute as ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.

  • InstanceId

    Tipo: string

    Descrição: (Obrigatório) O ID da EC2 instância da Amazon à qual você não consegue se conectar usando o Session Manager.

  • SessionPreferenceDocument

    Tipo: string

    Padrão: SSM - SessionManagerRunShell

    Descrição: (opcional) O nome do seu documento de preferências de sessão. Se não for especificado um documento de preferências de sessão personalizado ao iniciar sessões, use o valor padrão.

IAMPermissões necessárias

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

  • ec2:CreateNetworkInsightsPath

  • ec2:DeleteNetworkInsightsAnalysis

  • ec2:DeleteNetworkInsightsPath

  • ec2:StartNetworkInsightsAnalysis

  • tiros:CreateQuery

  • ec2:DescribeAvailabilityZones

  • ec2:DescribeCustomerGateways

  • ec2:DescribeDhcpOptions

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeInternetGateways

  • ec2:DescribeManagedPrefixLists

  • ec2:DescribeNatGateways

  • ec2:DescribeNetworkAcls

  • ec2:DescribeNetworkInsightsAnalyses

  • ec2:DescribeNetworkInsightsPaths

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribePrefixLists

  • ec2:DescribeRegions

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeTransitGatewayAttachments

  • ec2:DescribeTransitGatewayConnects

  • ec2:DescribeTransitGatewayPeeringAttachments

  • ec2:DescribeTransitGatewayRouteTables

  • ec2:DescribeTransitGateways

  • ec2:DescribeTransitGatewayVpcAttachments

  • ec2:DescribeVpcAttribute

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcEndpointServiceConfigurations

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeVpcs

  • ec2:DescribeVpnConnections

  • ec2:DescribeVpnGateways

  • ec2:GetManagedPrefixListEntries

  • ec2:GetTransitGatewayRouteTablePropagations

  • ec2:SearchTransitGatewayRoutes

  • elasticloadbalancing:DescribeListeners

  • elasticloadbalancing:DescribeLoadBalancerAttributes

  • elasticloadbalancing:DescribeLoadBalancers

  • elasticloadbalancing:DescribeRules

  • elasticloadbalancing:DescribeTags

  • elasticloadbalancing:DescribeTargetGroups

  • elasticloadbalancing:DescribeTargetHealth

  • iam:GetInstanceProfile

  • iam:ListAttachedRolePolicies

  • iam:ListRoles

  • iam:PassRole

  • ssm:DescribeAutomationStepExecutions

  • ssm:DescribeInstanceInformation

  • ssm:GetAutomationExecution

  • ssm:GetDocument

  • ssm:ListCommands

  • ssm:ListCommandInvocations

  • ssm:SendCommand

  • ssm:StartAutomationExecution

  • tiros:GetQueryAnswer

  • tiros:GetQueryExplanation

Etapas do documento

  1. aws:waitForAwsResourceProperty: espera até 6 minutos para que sua instância de destino passe pelas verificações de status.

  2. aws:executeScript: analisa o documento de preferência da sessão.

  3. aws:executeAwsApi: obtém o perfil ARN da instância anexado à sua instância.

  4. aws:executeAwsApi: verifica se a instância está sendo executada e reportada como gerenciada pelo Systems Manager.

  5. aws:branch: ramifica com base no fato de sua instância estar reportando como sendo gerenciada pelo Systems Manager.

  6. aws:executeScript: verifica se o SSM Agente instalado na sua instância é compatível com o Gerenciador de Sessões.

  7. aws:branch: ramifica com base na plataforma da sua instância para coletar logs da ssm-cli.

  8. aws:runCommand: coleta a saída de logs da ssm-cli de uma instância do Linux or macOS.

  9. aws:runCommand: coleta a saída de logs da ssm-cli de uma instância do Windows.

  10. aws:executeScript: analisa os logs da ssm-cli .

  11. aws:executeScript: verifica se uma IAM política recomendada está anexada ao perfil da instância.

  12. aws:branch: determina se a conectividade do endpoint do ssmmessages deve ser avaliada com base nos logs da ssm-cli.

  13. aws:executeAutomation: avalia se a instância pode se conectar a um endpoint do ssmmessages.

  14. aws:branch: determina se a conectividade do endpoint Amazon S3 deve ser avaliada com base nos logs da ssm-cli e nas suas preferências de sessão.

  15. aws:executeAutomation: avalia se a instância pode se conectar a um endpoint do Amazon S3.

  16. aws:branch: determina se a conectividade do AWS KMS endpoint deve ser avaliada com base nos ssm-cli registros e nas suas preferências de sessão.

  17. aws:executeAutomation: avalia se a instância pode se conectar a um AWS KMS endpoint.

  18. aws:branch: determina se a conectividade do endpoint do CloudWatch Logs deve ser avaliada com base nos ssm-cli registros e nas suas preferências de sessão.

  19. aws:executeAutomation: avalia se a instância pode se conectar a um endpoint do CloudWatch Logs.

  20. aws:executeAutomation: executa o runbook AWSSupport-TroubleshootManagedInstance.

  21. aws:executeScript: compila a saída das etapas anteriores e gera um relatório.

Saídas

  • generateReport.EvalReport :Os resultados das verificações realizadas pelo runbook em texto simples.