AWSSupport-TroubleshootLambdaInternetAccess - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSSupport-TroubleshootLambdaInternetAccess

Beschreibung

Das AWSSupport-TroubleshootLambdaInternetAccess Runbook hilft Ihnen bei der Behebung von Internetzugriffsproblemen für eine AWS Lambda Funktion, die in Amazon Virtual Private Cloud (AmazonVPC) eingeführt wurde. Ressourcen wie Subnetzrouten, Sicherheitsgruppenregeln und Regeln für die Netzwerkzugriffskontrollliste (ACL) werden überprüft, um sicherzustellen, dass ausgehender Internetzugang zulässig ist.

Führen Sie diese Automatisierung aus (Konsole)

Art des Dokuments

Automatisierung

Eigentümer

Amazon

Plattformen

LinuxmacOS, Windows

Parameter

  • AutomationAssumeRole

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der Rolle AWS Identity and Access Management (IAM), der es Systems Manager Automation ermöglicht, die Aktionen in Ihrem Namen durchzuführen. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

  • FunctionName

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Der Name der Lambda-Funktion, für die Sie Probleme mit dem Internetzugang beheben möchten.

  • destinationIp

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Die Ziel-IP-Adresse, zu der Sie eine ausgehende Verbindung herstellen möchten.

  • destinationPort

    Typ: Zeichenfolge

    Standard: 443

    Beschreibung: (Optional) Der Zielport, über den Sie eine ausgehende Verbindung herstellen möchten.

Erforderliche Berechtigungen IAM

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • lambda:GetFunction

  • ec2:DescribeRouteTables

  • ec2:DescribeNatGateways

  • ec2:DescribeSecurityGroups

  • ec2:DescribeNetworkAcls

Dokumentschritte

  • aws:executeScript- Überprüft die Konfiguration verschiedener Ressourcen in Ihrem Land, in VPC dem die Lambda-Funktion gestartet wurde.

  • aws:branch- Verzweigt basierend darauf, ob sich die angegebene Lambda-Funktion in a befindet VPC oder nicht.

  • aws:executeScript- Überprüft die Routing-Tabellenrouten für das Subnetz, in dem die Lambda-Funktion gestartet wurde, und stellt sicher, dass Routen zu einem Network Address Translation (NAT) -Gateway () und einem Internet-Gateway vorhanden sind. Bestätigt, dass sich die Lambda-Funktion nicht in einem öffentlichen Subnetz befindet.

  • aws:executeScript- Überprüft anhand der für die Parameter und angegebenen Werte, dass die der Lambda-Funktion zugeordnete Sicherheitsgruppe ausgehenden Internetzugang zulässt. destinationIp destinationPort

  • aws:executeScript- Überprüft die ACL Regeln, die den Subnetzen der Lambda-Funktion zugeordnet sind, und das NAT Gateway ermöglicht ausgehenden Internetzugang auf der Grundlage der für die Parameter und angegebenen Werte. destinationIp destinationPort

Ausgaben

checkVpc.vpc — Die ID des Ortes, an VPC dem Ihre Lambda-Funktion gestartet wurde.

checkVpc.subnet — Das IDs der Subnetze, in denen Ihre Lambda-Funktion gestartet wurde.

checkVpc. securityGroups - Sicherheitsgruppen, die der Lambda-Funktion zugeordnet sind.

überprüfenNACL. NACL- Analysenachricht mit Ressourcennamen. LambdaIpbezieht sich auf die private IP-Adresse der elastic network interface für Ihre Lambda-Funktion. Das LambdaIpRules Objekt wird nur für Subnetze generiert, die eine Route zu einem NAT Gateway haben. Der folgende Inhalt ist ein Beispiel für die Ausgabe. 

{
   "subnet-1234567890":{
      "NACL":"acl-1234567890",
      "destinationIp_Egress":"Allowed",
      "destinationIp_Ingress":"notAllowed",
      "Analysis":"This NACL has an allow rule for Egress traffic but there is no Ingress rule. Please allow the destination IP / destionation port in Ingress rule",
      "LambdaIpRules":{
         "{LambdaIp}":{
            "Egress":"notAllowed",
            "Ingress":"notAllowed",
            "Analysis":"This is a NAT subnet NACL. It does not have ingress or egress rule allowed in it for Lambda's corresponding private ip {LambdaIp} Please allow this IP in your egress and ingress NACL rules"
         }
      }
   },
   "subnet-0987654321":{
      "NACL":"acl-0987654321",
      "destinationIp_Egress":"Allowed",
      "destinationIp_Ingress":"notAllowed",
      "Analysis":"This NACL has an allow rule for Egress traffic but there is no Ingress rule. Please allow the destination IP / destionation port in Ingress rule"
   }
}

checkSecurityGroups.secgrps — Analyse für die Sicherheitsgruppe, die Ihrer Lambda-Funktion zugeordnet ist. Der folgende Inhalt ist ein Beispiel für die Ausgabe.

{
   "sg-123456789":{
      "Status":"Allowed",
      "Analysis":"This security group has allowed destintion IP and port in its outbuond rule."
   }
}

checkSubnet.subnets — Analyse für die Subnetze in Ihrem System, die mit Ihrer VPC Lambda-Funktion verknüpft sind. Der folgende Inhalt ist ein Beispiel für die Ausgabe.

{
   "subnet-0c4ee6cdexample15":{
      "Route":{
         "DestinationCidrBlock":"8.8.8.0/26",
         "NatGatewayId":"nat-00f0example69fdec",
         "Origin":"CreateRoute",
         "State":"active"
      },
      "Analysis":"This Route Table has an active NAT gateway path. Also, The NAT gateway is launched in public subnet",
      "RouteTable":"rtb-0b1fexample16961b"
   }
}