AWSSupport-TroubleshootManagedInstance - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSSupport-TroubleshootManagedInstance

Beschreibung

Das AWSSupport-TroubleshootManagedInstance Runbook hilft Ihnen zu ermitteln, warum eine Amazon Elastic Compute Cloud (Amazon EC2)-Instance nicht als von verwaltet meldetAWS Systems Manager. Dieses Runbook überprüft die VPC-Konfiguration für die Instance, einschließlich Sicherheitsgruppenregeln, VPC-Endpunkte, Netzwerkzugriffskontrolllisten (ACL)-Regeln und Routing-Tabellen. Es bestätigt auch, dass der Instance ein AWS Identity and Access Management (IAM)-Instance-Profil angefügt ist, das die erforderlichen Berechtigungen enthält.

Wichtig

Dieses Automatisierungs-Runbook wertet keine IPv6-Regeln aus.

Ausführen dieser Automatisierung (Konsole)

Dokumenttyp

Automatisierung

Eigentümer

Amazon

Plattformen

Linux, macOS, Windows

Parameter

  • AutomationAssumeRole

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM)-Rolle, mit der Systems Manager Automation die Aktionen in Ihrem Namen ausführen kann. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

  • InstanceId

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Die ID der Amazon EC2-Instance, die nicht wie von Systems Manager verwaltet meldet.

Erforderliche IAM-Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • ssm:DescribeAutomationExecutions

  • ssm:DescribeAutomationStepExecutions

  • ssm:DescribeInstanceInformation

  • ssm:DescribeInstanceProperties

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ssm:GetDocument

  • ssm:ListDocuments

  • ssm:StartAutomationExecution

  • iam:ListRoles

  • iam:GetInstanceProfile

  • iam:ListAttachedRolePolicies

  • ec2:DescribeInstances

  • ec2:DescribeNetworkAcls

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeVpcEndpoints

Dokumentschritte

  • aws:executeScript – Sammelt die PingStatus der Instance.

  • aws:branch – Verzweigungen, die darauf basieren, ob die Instance bereits als von Systems Manager verwaltet gemeldet wird.

  • aws:executeAwsApi – Sammelt Details zur Instance, einschließlich der VPC-Konfiguration.

  • aws:executeScript – Falls zutreffend, sammelt zusätzliche Details zu VPC-Endpunkten, die für die Verwendung mit Systems Manager bereitgestellt wurden, und bestätigt, dass die an den VPC-Endpunkt angehängten Sicherheitsgruppen eingehenden Datenverkehr auf TCP-Port 443 von der Instance zulassen.

  • aws:executeScript – Prüft, ob die Routing-Tabelle Datenverkehr zum VPC-Endpunkt oder zu öffentlichen Systems Manager-Endpunkten zulässt.

  • aws:executeScript – Prüft, ob die Netzwerk-ACL-Regeln Datenverkehr zum VPC-Endpunkt oder zu öffentlichen Systems Manager-Endpunkten zulassen.

  • aws:executeScript – Prüft, ob ausgehender Datenverkehr zum VPC-Endpunkt oder zu öffentlichen Systems Manager-Endpunkten von der Sicherheitsgruppe zugelassen wird, die der Instance zugeordnet ist.

  • aws:executeScript – Prüft, ob das an die Instance angefügte Instance-Profil eine verwaltete Richtlinie enthält, die die erforderlichen Berechtigungen bereitstellt.

  • aws:branch – Verzweigungen, die auf dem Betriebssystem der Instance basieren.

  • aws:executeScript – Bietet Verweis auf das ssmagent-toolkit-linux Shell-Skript.

  • aws:executeScript – Bietet Verweis auf das ssmagent-toolkit-windows PowerShell Skript.

  • aws:executeScript – Generiert die endgültige Ausgabe für die Automatisierung.

  • aws:executeScript – Wenn der PingStatus der Online Instance ist, gibt zurück, dass die Instance bereits von Systems Manager verwaltet wird.