AWSSupport-SetupIPMonitoringFromVPC - AWS Systems Manager Referencia del manual de automatización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSSupport-SetupIPMonitoringFromVPC

Descripción

AWSSupport-SetupIPMonitoringFromVPCcrea una instancia de Amazon Elastic Compute Cloud (Amazon EC2) en la subred especificada y monitorea el objetivo IPs (IPv4 o IPv6) seleccionado mediante la ejecución continua de pruebas de ping, MTR, traceroute y tracetcp. Los resultados se almacenan en los CloudWatch registros de Amazon Logs y se aplican filtros de métricas para visualizar rápidamente las estadísticas de latencia y pérdida de paquetes en un CloudWatch panel de control.

Información adicional

CloudWatch Los datos de los registros se pueden utilizar para solucionar problemas de red y analizar si la pattern/trends. Additionally, you can configure CloudWatch alarms with Amazon SNS notifications when packet loss and/or latencia alcanza un umbral. Los datos también se pueden usar al abrir un caso AWS Support, para ayudar a aislar un problema rápidamente y reducir el tiempo de resolución al investigar un problema de red.

nota

Para limpiar los recursos creados por AWSSupport-SetupIPMonitoringFromVPC, puede utilizar el manual de procedimientos AWSSupport-TerminateIPMonitoringFromVPC. Para obtener más información, consulte AWSSupport-TerminateIPMonitoringFromVPC.

Ejecuta esta automatización (consola)

Tipo de documento

Automatización

Propietario

Amazon

Plataformas

Linux, macOS, Windows

Parámetros

  • AutomationAssumeRole

    Tipo: cadena

    Descripción: (opcional) el Nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.

  • CloudWatchLogGroupNamePrefix

    Tipo: cadena

    Valor predeterminado: / AWSSupport-SetupIPMonitoringFromVPC

    Descripción: (opcional) Prefijo utilizado para cada grupo de CloudWatch registros creado para los resultados de la prueba.

  • CloudWatchLogGroupRetentionInDays

    Tipo: cadena

    Valores válidos: 1 | 3 | 5 | 7 | 14 | 30 | 60 | 90 | 120 | 150 | 180 | 365 | 400 | 545 | 731 | 1827 | 3653

    Valor predeterminado: 7

    Descripción: (opcional) número de días para los que desea conservar los resultados de monitorización de red.

  • InstanceType

    Tipo: cadena

    Valores válidos: t2.micro | t2.small | t2.medium | t2.large | t3.micro | t3.small | t3.medium | t3.large | t4g.micro | t4g.small | t4g.medium | t4g.large

    Valor predeterminado: t2.micro

    Descripción: (opcional) El tipo de EC2 instancia de la instancia de EC2 Rescue. Tamaño recomendado: t2.micro.

  • SubnetId

    Tipo: cadena

    Descripción: (opcional) ID de subred para la instancia de monitor. Tenga en cuenta que si especifica una subred privada, debe asegurarse de que haya acceso a Internet para permitir que la instancia del monitor configure la prueba (es decir, instale el agente CloudWatch Logs, interactúe con Systems Manager y CloudWatch).

  • Destino IPs

    Tipo: cadena

    Descripción: (Obligatorio) Lista separada por comas de IPv4s y/o IPv6s para monitorear. No se permiten espacios. El tamaño máximo es de 255 caracteres. Tenga en cuenta que si proporciona una IP no válida, la Automation producirá un error y restaurará la configuración de prueba.

Permisos de IAM necesarios

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

Se recomienda que el usuario que ejecuta la automatización tenga adjunta la política gestionada por Amazon SSMAutomation Role IAM. Además, el usuario debe tener la siguiente política asociada a su cuenta de usuario, grupo o rol: 


                {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:CreateRole",
                "iam:CreateInstanceProfile",
                "iam:GetRole",
                "iam:GetInstanceProfile",
                "iam:DetachRolePolicy",
                "iam:AttachRolePolicy",
                "iam:PassRole",
                "iam:AddRoleToInstanceProfile",
                "iam:RemoveRoleFromInstanceProfile",
                "iam:DeleteRole",
                "iam:DeleteInstanceProfile",
                "iam:PutRolePolicy",
                "iam:DeleteRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::
                AWS_account_ID
                :role/AWSSupport/SetupIPMonitoringFromVPC_*",
                "arn:aws:iam::
                AWS_account_ID
                :instance-profile/AWSSupport/SetupIPMonitoringFromVPC_*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "iam:DetachRolePolicy",
                "iam:AttachRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::aws:policy/service-role/AmazonSSMManagedInstanceCore"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "cloudwatch:DeleteDashboards"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeSubnets",
                "ec2:DescribeInstanceTypes",
                "ec2:RunInstances",
                "ec2:TerminateInstances",
                "ec2:DescribeInstanceStatus"
                "ec2:CreateTags",
                "ec2:AssignIpv6Addresses",
                "ec2:DescribeTags",
                "ec2:DescribeInstances",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ssm:GetParameter",
                "ssm:SendCommand",
                "ssm:ListCommands",
                "ssm:ListCommandInvocations",
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

Pasos de documentos

  1. aws:executeAwsApi: describe la subred proporcionada.

  2. aws:branch- evalúe la IPs entrada de Target.

    (IPv6) Si Target IPs contiene un IPv6:

    aws:assertAwsResourceProperty- compruebe que la subred proporcionada tenga un IPv6 grupo asociado

  3. aws:executeScript- obtener la arquitectura del tipo de instancia y la ruta de parámetros públicos para la última versión de Amazon Linux 2 AMI.

  4. aws:executeAwsApi- obtén la última versión de Amazon Linux 2 AMI de Parameter Store.

  5. aws:executeAwsApi: crea un grupo de seguridad para la prueba en la VPC de subred.

    (Limpieza) Si la creación del grupo de seguridad falla:

    aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

  6. aws:executeAwsApi: permite todo el tráfico saliente en el grupo de seguridad de la prueba.

    (Limpieza) Si la creación de la regla de salida del grupo de seguridad falla:

    aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

  7. aws:executeAwsApi- crear un rol de IAM para la instancia de prueba EC2

    (Limpieza) Si la creación del rol falla:

    1. aws:executeAwsApi: elimina el rol de IAM creado por la automatización, en caso de que exista.

    2. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

  8. aws:executeAwsApi- adjunte la política SSMManaged InstanceCore gestionada por Amazon

    (Limpieza) Si la asociación de políticas falla:

    1. aws:executeAwsApi- separe la política SSMManaged InstanceCore gestionada por Amazon del rol creado por la automatización, si está adjunto.

    2. aws:executeAwsApi: elimina el rol de IAM creado por la automatización.

    3. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

  9. aws:executeAwsApi- adjunte una política en línea que permita configurar las retenciones de los grupos de CloudWatch registros y crear un panel CloudWatch

    (Limpieza) Si la asociación de políticas insertadas falla:

    1. aws:executeAwsApi- elimine la política CloudWatch en línea del rol creado por la automatización, si se creó.

    2. aws:executeAwsApi- separar la política SSMManaged InstanceCore gestionada por Amazon del rol creado por la automatización.

    3. aws:executeAwsApi: elimina el rol de IAM creado por la automatización.

    4. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

  10. aws:executeAwsApi: crea un perfil de instancia de IAM.

    (Limpieza) Si la creación del perfil de instancia falla:

    1. aws:executeAwsApi: elimina el perfil de instancia de creado por la automatización, en caso de que exista.

    2. aws:executeAwsApi- elimine la política CloudWatch en línea del rol creado por la automatización.

    3. aws:executeAwsApi- eliminar la política SSMManaged InstanceCore gestionada por Amazon del rol creado por la automatización.

    4. aws:executeAwsApi: elimina el rol de IAM creado por la automatización.

    5. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

  11. aws:executeAwsApi: adjunta el rol de IAM al perfil de instancias.

    (Limpieza) Si la asociación del perfil de instancia con el rol falla:

    1. aws:executeAwsApi: quita el perfil de instancia de del rol, si están asociados.

    2. aws:executeAwsApi: elimina el perfil de instancia de IAM creado por la automatización.

    3. aws:executeAwsApi- eliminar la política CloudWatch en línea del rol creado por la automatización.

    4. aws:executeAwsApi- separar la política SSMManaged InstanceCore gestionada por Amazon del rol creado por la automatización.

    5. aws:executeAwsApi: elimina el rol de IAM creado por la automatización.

    6. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

  12. aws:sleep: espera a que el perfil de instancia vuelva a estar disponible.

  13. aws:runInstances: permite crear la instancia de prueba en la subred especificada y con el perfil de instancia que creó anteriormente asociado.

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi: quita el perfil de instancia de IAM del rol.

    3. aws:executeAwsApi: elimina el perfil de instancia de IAM creado por la automatización.

    4. aws:executeAwsApi- elimine la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separar la política SSMManaged InstanceCore gestionada por Amazon del rol creado por la automatización.

    6. aws:executeAwsApi: elimina el rol de IAM creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

  14. aws:branch- evaluar la IPs entrada de Target.

    (IPv6) Si Target IPs contiene un IPv6:

    aws:executeAwsApi- asigne un IPv6 a la instancia de prueba.

  15. aws:waitForAwsResourceProperty: espera a que la instancia de prueba se convierta en una instancia gestionada.

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi: quita el perfil de instancia de IAM del rol.

    3. aws:executeAwsApi: elimina el perfil de instancia de IAM creado por la automatización.

    4. aws:executeAwsApi- elimine la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separar la política SSMManaged InstanceCore gestionada por Amazon del rol creado por la automatización.

    6. aws:executeAwsApi: elimina el rol de IAM creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

  16. aws:runCommand: instala los requisitos previos de la prueba:

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi: quita el perfil de instancia de IAM del rol.

    3. aws:executeAwsApi: elimina el perfil de instancia de IAM creado por la automatización.

    4. aws:executeAwsApi- elimine la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separar la política SSMManaged InstanceCore gestionada por Amazon del rol creado por la automatización.

    6. aws:executeAwsApi: elimina el rol de IAM creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

  17. aws:runCommand- valide que las direcciones y/o IPs las direcciones proporcionadas sean sintácticamente correctas IPv4: IPv6

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi: quita el perfil de instancia de IAM del rol.

    3. aws:executeAwsApi: elimina el perfil de instancia de IAM creado por la automatización.

    4. aws:executeAwsApi- elimine la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separar la política SSMManaged InstanceCore gestionada por Amazon del rol creado por la automatización.

    6. aws:executeAwsApi: elimina el rol de IAM creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

  18. aws:runCommand- defina la prueba MTR para cada una de las proporcionadas. IPs

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi: quita el perfil de instancia de IAM del rol.

    3. aws:executeAwsApi: elimina el perfil de instancia de IAM creado por la automatización.

    4. aws:executeAwsApi- elimine la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separar la política SSMManaged InstanceCore gestionada por Amazon del rol creado por la automatización.

    6. aws:executeAwsApi: elimina el rol de IAM creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

  19. aws:runCommand- defina la primera prueba de ping para cada una de las proporcionadas IPs.

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi: quita el perfil de instancia de IAM del rol.

    3. aws:executeAwsApi: elimina el perfil de instancia de IAM creado por la automatización.

    4. aws:executeAwsApi- elimine la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separar la política SSMManaged InstanceCore gestionada por Amazon del rol creado por la automatización.

    6. aws:executeAwsApi: elimina el rol de IAM creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

  20. aws:runCommand- defina la segunda prueba de ping para cada una de las proporcionadas IPs.

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi: quita el perfil de instancia de IAM del rol.

    3. aws:executeAwsApi: elimina el perfil de instancia de IAM creado por la automatización.

    4. aws:executeAwsApi- elimine la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separar la política SSMManaged InstanceCore gestionada por Amazon del rol creado por la automatización.

    6. aws:executeAwsApi: elimina el rol de IAM creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

  21. aws:runCommand- defina la prueba de trazabilidad para cada una de las proporcionadas. IPs

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi: quita el perfil de instancia de IAM del rol.

    3. aws:executeAwsApi: elimina el perfil de instancia de IAM creado por la automatización.

    4. aws:executeAwsApi- elimine la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separar la política SSMManaged InstanceCore gestionada por Amazon del rol creado por la automatización.

    6. aws:executeAwsApi: elimina el rol de IAM creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

  22. aws:runCommand- defina la prueba de rastreo de rutas para cada una de las proporcionadas. IPs

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi: quita el perfil de instancia de IAM del rol.

    3. aws:executeAwsApi: elimina el perfil de instancia de IAM creado por la automatización.

    4. aws:executeAwsApi- elimine la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separar la política SSMManaged InstanceCore gestionada por Amazon del rol creado por la automatización.

    6. aws:executeAwsApi: elimina el rol de IAM creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

  23. aws:runCommand- configurar los CloudWatch registros.

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi: quita el perfil de instancia de IAM del rol.

    3. aws:executeAwsApi: elimina el perfil de instancia de IAM creado por la automatización.

    4. aws:executeAwsApi- elimine la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separar la política SSMManaged InstanceCore gestionada por Amazon del rol creado por la automatización.

    6. aws:executeAwsApi: elimina el rol de IAM creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

  24. aws:runCommand: programa trabajos cron para ejecutar cada prueba cada minuto.

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi: quita el perfil de instancia de IAM del rol.

    3. aws:executeAwsApi: elimina el perfil de instancia de IAM creado por la automatización.

    4. aws:executeAwsApi- elimine la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separar la política SSMManaged InstanceCore gestionada por Amazon del rol creado por la automatización.

    6. aws:executeAwsApi: elimina el rol de IAM creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

  25. aws:sleep: espera a que las pruebas generen algunos datos.

  26. aws:runCommand- establezca las retenciones de grupos de CloudWatch registros deseadas.

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi: quita el perfil de instancia de IAM del rol.

    3. aws:executeAwsApi: elimina el perfil de instancia de IAM creado por la automatización.

    4. aws:executeAwsApi- elimine la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separar la política SSMManaged InstanceCore gestionada por Amazon del rol creado por la automatización.

    6. aws:executeAwsApi: elimina el rol de IAM creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

  27. aws:runCommand- configure los filtros de métricas del grupo de CloudWatch registros.

    (Limpieza) Si el paso falla:

    1. aws:changeInstanceState: termina la instancia de prueba.

    2. aws:executeAwsApi: quita el perfil de instancia de IAM del rol.

    3. aws:executeAwsApi: elimina el perfil de instancia de IAM creado por la automatización.

    4. aws:executeAwsApi- elimine la política CloudWatch en línea del rol creado por la automatización.

    5. aws:executeAwsApi- separar la política SSMManaged InstanceCore gestionada por Amazon del rol creado por la automatización.

    6. aws:executeAwsApi: elimina el rol de IAM creado por la automatización.

    7. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

  28. aws:runCommand- crea el CloudWatch panel de control.

    (Limpieza) Si el paso falla:

    1. aws:executeAwsApi- eliminar el CloudWatch panel de control, si existe.

    2. aws:changeInstanceState: termina la instancia de prueba.

    3. aws:executeAwsApi: quita el perfil de instancia de IAM del rol.

    4. aws:executeAwsApi: elimina el perfil de instancia de IAM creado por la automatización.

    5. aws:executeAwsApi- elimine la política CloudWatch en línea del rol creado por la automatización.

    6. aws:executeAwsApi- separar la política SSMManaged InstanceCore gestionada por Amazon del rol creado por la automatización.

    7. aws:executeAwsApi: elimina el rol de IAM creado por la automatización.

    8. aws:executeAwsApi: elimina el grupo de seguridad creado por la automatización, en caso de que exista.

Salidas

createCloudWatchDashboards.Output: la URL del panel de control. CloudWatch

createManagedInstance. InstanceIds - el ID de la instancia de prueba.