As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWSSupport-TroubleshootMWAAEnvironmentCreation
Descrição
O AWSSupport-TroubleshootMWAAEnvironmentCreation
runbook fornece informações para depurar o Amazon Managed Workflows para problemas de criação do ambiente Apache Airflow (AmazonMWAA) e realizar verificações, juntamente com os motivos documentados, da melhor forma possível, para ajudar a identificar a falha.
Como funciona?
O runbook executa as seguintes etapas:
-
Recupera os detalhes do MWAA ambiente da Amazon.
-
Verifica as permissões da função de execução.
-
Verifica se o ambiente tem permissões para usar a AWS KMS chave fornecida para registro e se o grupo de CloudWatch registros necessário existe.
-
Analisa os registros no grupo de registros fornecido para localizar quaisquer erros.
-
Verifica a configuração da rede para verificar se o MWAA ambiente da Amazon tem acesso aos endpoints necessários.
-
Gera um relatório com as descobertas.
Executar esta automação (console)
Tipo de documento
Automação
Proprietário
Amazon
Plataformas
/
IAMPermissões necessárias
O parâmetro AutomationAssumeRole
requer as seguintes ações para usar o runbook com êxito.
-
airflow:GetEnvironment
-
cloudtrail:LookupEvents
-
ec2:DescribeNatGateways
-
ec2:DescribeNetworkAcls
-
ec2:DescribeNetworkInterfaces
-
ec2:DescribeRouteTables
-
ec2:DescribeSecurityGroups
-
ec2:DescribeSubnets
-
ec2:DescribeVpcEndpoints
-
iam:GetPolicy
-
iam:GetPolicyVersion
-
iam:GetRolePolicy
-
iam:ListAttachedRolePolicies
-
iam:ListRolePolicies
-
iam:SimulateCustomPolicy
-
kms:GetKeyPolicy
-
kms:ListAliases
-
logs:DescribeLogGroups
-
logs:FilterLogEvents
-
s3:GetBucketAcl
-
s3:GetBucketPolicyStatus
-
s3:GetPublicAccessBlock
-
s3control:GetPublicAccessBlock
-
ssm:StartAutomationExecution
-
ssm:GetAutomationExecution
Instruções
Siga estas etapas para configurar a automação:
-
Navegue até
AWSSupport-TroubleshootMWAAEnvironmentCreation
em Systems Manager em Documentos. -
Selecione Execute automation (Executar automação).
-
Para os parâmetros de entrada, insira o seguinte:
-
AutomationAssumeRole (Opcional):
O Amazon Resource Name (ARN) da função AWS AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation execute as ações em seu nome. Se nenhuma função for especificada, o Systems Manager Automation usa as permissões do usuário que inicia esse runbook.
-
EnvironmentName (Obrigatório):
Nome do MWAA ambiente da Amazon que você deseja avaliar.
-
-
Selecione Executar.
-
A automação é iniciada.
-
O bucket realiza as seguintes etapas:
-
GetMWAAEnvironmentDetails:
Recupera os detalhes do MWAA ambiente da Amazon. Se essa etapa falhar, o processo de automação será interrompido e exibido como
Failed
. -
CheckIAMPermissionsOnExecutionRole:
Verifica se a função de execução tem as permissões necessárias para os recursos da AmazonMWAA, Amazon S3 CloudWatch CloudWatch, Logs e AmazonSQS. Se detectar uma chave gerenciada pelo cliente AWS Key Management Service (AWS KMS), a automação valida as permissões necessárias da chave. Essa etapa emprega o
iam:SimulateCustomPolicy
API para verificar se a função de execução da automação atende a todas as permissões necessárias. -
CheckKMSPolicyOnKMSKey:
Verifica se a política de AWS KMS chaves permite que o MWAA ambiente da Amazon use a chave para criptografar CloudWatch registros. Se a AWS KMS chave for AWS gerenciada, a automação ignora essa verificação.
-
CheckIfRequiredLogGroupsExists:
Verifica se os grupos de CloudWatch log necessários para o MWAA ambiente Amazon existem. Caso contrário, a automação verifica CloudTrail
CreateLogGroup
osDeleteLogGroup
eventos. Essa etapa também verifica osCreateLogGroup
eventos. -
BranchOnLogGroupsFindings:
Ramificações baseadas na existência de grupos de CloudWatch registros relacionados ao MWAA ambiente amazônico. Se existir pelo menos um grupo de registros, a automação o analisará para localizar erros. Se nenhum grupo de registros estiver presente, a automação pulará a próxima etapa.
-
CheckForErrorsInLogGroups:
Analisa os grupos de CloudWatch registros para localizar erros.
-
GetRequiredEndPointsDetails:
Recupera os endpoints de serviço utilizados pelo ambiente da Amazon. MWAA
-
CheckNetworkConfiguration:
Verifica se a configuração de rede do MWAA ambiente Amazon atende aos requisitos, incluindo verificações de grupos de segurança, redeACLs, sub-redes e configurações de tabela de rotas.
-
CheckEndpointsConnectivity:
Invoca a automação
AWSSupport-ConnectivityTroubleshooter
infantil para validar a conectividade MWAA da Amazon com os endpoints necessários. -
CheckS3BlockPublicAccess:
Verifica se o bucket Amazon S3 do MWAA ambiente Amazon está
Block Public Access
ativado e também analisa as configurações gerais de bloqueio de acesso público do Amazon S3 da conta. -
GenerateReport:
Coleta informações da automação e imprime o resultado ou a saída de cada etapa.
-
-
Depois de concluído, revise a seção Saídas para obter os resultados detalhados da execução:
-
Verificando as permissões da função de execução do MWAA ambiente Amazon:
Verifica se a função de execução tem as permissões necessárias para os recursos da AmazonMWAA, Amazon S3 CloudWatch CloudWatch, Logs e AmazonSQS. Se uma AWS KMS chave gerenciada pelo cliente for detectada, a automação valida as permissões necessárias da chave.
-
Verificando a AWS KMS política-chave MWAA ambiental da Amazon:
Verifica se a função de execução possui as permissões necessárias para os recursos da AmazonMWAA, Amazon S3 CloudWatch CloudWatch, Logs e Amazon. SQS Além disso, se uma AWS KMS chave gerenciada pelo cliente for detectada, a automação verificará as permissões necessárias da chave.
-
Verificando os grupos de CloudWatch registros MWAA do ambiente da Amazon:
Verifica se os grupos de CloudWatch log necessários para o MWAA ambiente Amazon existem. Caso contrário, a automação verifica CloudTrail a localização
CreateLogGroup
eDeleteLogGroup
os eventos. -
Verificando as tabelas de rotas do MWAA ambiente Amazon:
Verifica se as tabelas de VPC rotas da Amazon no MWAA ambiente da Amazon estão configuradas corretamente.
-
Verificando os grupos de segurança do MWAA ambiente Amazon:
Verifica se os grupos de VPC segurança da Amazon no MWAA ambiente da Amazon estão configurados corretamente.
-
Verificando a rede MWAA ambiental da AmazonACLs:
Verifica se os grupos VPC de segurança da Amazon no MWAA ambiente da Amazon estão configurados corretamente.
-
Verificando as sub-redes MWAA do ambiente Amazon:
Verifica se as sub-redes do MWAA ambiente Amazon são privadas.
-
Verificar a conectividade dos endpoints exigia o MWAA ambiente da Amazon:
Verifica se o MWAA ambiente da Amazon pode acessar os endpoints necessários. Para isso, a automação invoca a
AWSSupport-ConnectivityTroubleshooter
automação. -
Verificando o MWAA ambiente Amazon Amazon Bucket Amazon S3:
Verifica se o bucket Amazon S3 do MWAA ambiente Amazon está
Block Public Access
ativado e também analisa as configurações de bloqueio de acesso público do Amazon S3 da conta. -
Verificar os CloudWatch registros do MWAA ambiente da Amazon agrupa erros:
Analisa os grupos de CloudWatch log existentes do MWAA ambiente Amazon para localizar erros.
-
Referências
Automação do Systems Manager