AWSSupport-TroubleshootMWAAEnvironmentCreation - AWS Systems Manager Referência do runbook de automação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSSupport-TroubleshootMWAAEnvironmentCreation

Descrição

O AWSSupport-TroubleshootMWAAEnvironmentCreation runbook fornece informações para depurar o Amazon Managed Workflows para problemas de criação do ambiente Apache Airflow (AmazonMWAA) e realizar verificações, juntamente com os motivos documentados, da melhor forma possível, para ajudar a identificar a falha.

Como funciona?

O runbook executa as seguintes etapas:

  • Recupera os detalhes do MWAA ambiente da Amazon.

  • Verifica as permissões da função de execução.

  • Verifica se o ambiente tem permissões para usar a AWS KMS chave fornecida para registro e se o grupo de CloudWatch registros necessário existe.

  • Analisa os registros no grupo de registros fornecido para localizar quaisquer erros.

  • Verifica a configuração da rede para verificar se o MWAA ambiente da Amazon tem acesso aos endpoints necessários.

  • Gera um relatório com as descobertas.

Executar esta automação (console)

Tipo de documento

Automação

Proprietário

Amazon

Plataformas

/

IAMPermissões necessárias

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

  • airflow:GetEnvironment

  • cloudtrail:LookupEvents

  • ec2:DescribeNatGateways

  • ec2:DescribeNetworkAcls

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeVpcEndpoints

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetRolePolicy

  • iam:ListAttachedRolePolicies

  • iam:ListRolePolicies

  • iam:SimulateCustomPolicy

  • kms:GetKeyPolicy

  • kms:ListAliases

  • logs:DescribeLogGroups

  • logs:FilterLogEvents

  • s3:GetBucketAcl

  • s3:GetBucketPolicyStatus

  • s3:GetPublicAccessBlock

  • s3control:GetPublicAccessBlock

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

Instruções

Siga estas etapas para configurar a automação:

  1. Navegue até AWSSupport-TroubleshootMWAAEnvironmentCreationem Systems Manager em Documentos.

  2. Selecione Execute automation (Executar automação).

  3. Para os parâmetros de entrada, insira o seguinte:

    • AutomationAssumeRole (Opcional):

      O Amazon Resource Name (ARN) da função AWS AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation execute as ações em seu nome. Se nenhuma função for especificada, o Systems Manager Automation usa as permissões do usuário que inicia esse runbook.

    • EnvironmentName (Obrigatório):

      Nome do MWAA ambiente da Amazon que você deseja avaliar.

  4. Selecione Executar.

  5. A automação é iniciada.

  6. O bucket realiza as seguintes etapas:

    • GetMWAAEnvironmentDetails:

      Recupera os detalhes do MWAA ambiente da Amazon. Se essa etapa falhar, o processo de automação será interrompido e exibido comoFailed.

    • CheckIAMPermissionsOnExecutionRole:

      Verifica se a função de execução tem as permissões necessárias para os recursos da AmazonMWAA, Amazon S3 CloudWatch CloudWatch, Logs e AmazonSQS. Se detectar uma chave gerenciada pelo cliente AWS Key Management Service (AWS KMS), a automação valida as permissões necessárias da chave. Essa etapa emprega o iam:SimulateCustomPolicy API para verificar se a função de execução da automação atende a todas as permissões necessárias.

    • CheckKMSPolicyOnKMSKey:

      Verifica se a política de AWS KMS chaves permite que o MWAA ambiente da Amazon use a chave para criptografar CloudWatch registros. Se a AWS KMS chave for AWS gerenciada, a automação ignora essa verificação.

    • CheckIfRequiredLogGroupsExists:

      Verifica se os grupos de CloudWatch log necessários para o MWAA ambiente Amazon existem. Caso contrário, a automação verifica CloudTrail CreateLogGroup os DeleteLogGroup eventos. Essa etapa também verifica os CreateLogGroup eventos.

    • BranchOnLogGroupsFindings:

      Ramificações baseadas na existência de grupos de CloudWatch registros relacionados ao MWAA ambiente amazônico. Se existir pelo menos um grupo de registros, a automação o analisará para localizar erros. Se nenhum grupo de registros estiver presente, a automação pulará a próxima etapa.

    • CheckForErrorsInLogGroups:

      Analisa os grupos de CloudWatch registros para localizar erros.

    • GetRequiredEndPointsDetails:

      Recupera os endpoints de serviço utilizados pelo ambiente da Amazon. MWAA

    • CheckNetworkConfiguration:

      Verifica se a configuração de rede do MWAA ambiente Amazon atende aos requisitos, incluindo verificações de grupos de segurança, redeACLs, sub-redes e configurações de tabela de rotas.

    • CheckEndpointsConnectivity:

      Invoca a automação AWSSupport-ConnectivityTroubleshooter infantil para validar a conectividade MWAA da Amazon com os endpoints necessários.

    • CheckS3BlockPublicAccess:

      Verifica se o bucket Amazon S3 do MWAA ambiente Amazon está Block Public Access ativado e também analisa as configurações gerais de bloqueio de acesso público do Amazon S3 da conta.

    • GenerateReport:

      Coleta informações da automação e imprime o resultado ou a saída de cada etapa.

  7. Depois de concluído, revise a seção Saídas para obter os resultados detalhados da execução:

    • Verificando as permissões da função de execução do MWAA ambiente Amazon:

      Verifica se a função de execução tem as permissões necessárias para os recursos da AmazonMWAA, Amazon S3 CloudWatch CloudWatch, Logs e AmazonSQS. Se uma AWS KMS chave gerenciada pelo cliente for detectada, a automação valida as permissões necessárias da chave.

    • Verificando a AWS KMS política-chave MWAA ambiental da Amazon:

      Verifica se a função de execução possui as permissões necessárias para os recursos da AmazonMWAA, Amazon S3 CloudWatch CloudWatch, Logs e Amazon. SQS Além disso, se uma AWS KMS chave gerenciada pelo cliente for detectada, a automação verificará as permissões necessárias da chave.

    • Verificando os grupos de CloudWatch registros MWAA do ambiente da Amazon:

      Verifica se os grupos de CloudWatch log necessários para o MWAA ambiente Amazon existem. Caso contrário, a automação verifica CloudTrail a localização CreateLogGroup e DeleteLogGroup os eventos.

    • Verificando as tabelas de rotas do MWAA ambiente Amazon:

      Verifica se as tabelas de VPC rotas da Amazon no MWAA ambiente da Amazon estão configuradas corretamente.

    • Verificando os grupos de segurança do MWAA ambiente Amazon:

      Verifica se os grupos de VPC segurança da Amazon no MWAA ambiente da Amazon estão configurados corretamente.

    • Verificando a rede MWAA ambiental da AmazonACLs:

      Verifica se os grupos VPC de segurança da Amazon no MWAA ambiente da Amazon estão configurados corretamente.

    • Verificando as sub-redes MWAA do ambiente Amazon:

      Verifica se as sub-redes do MWAA ambiente Amazon são privadas.

    • Verificar a conectividade dos endpoints exigia o MWAA ambiente da Amazon:

      Verifica se o MWAA ambiente da Amazon pode acessar os endpoints necessários. Para isso, a automação invoca a AWSSupport-ConnectivityTroubleshooter automação.

    • Verificando o MWAA ambiente Amazon Amazon Bucket Amazon S3:

      Verifica se o bucket Amazon S3 do MWAA ambiente Amazon está Block Public Access ativado e também analisa as configurações de bloqueio de acesso público do Amazon S3 da conta.

    • Verificar os CloudWatch registros do MWAA ambiente da Amazon agrupa erros:

      Analisa os grupos de CloudWatch log existentes do MWAA ambiente Amazon para localizar erros.

Referências

Automação do Systems Manager