Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWSSupport-TroubleshootEC2InstanceConnect
Descripción
AWSSupport-TroubleshootEC2InstanceConnectla automatización ayuda a analizar y detectar errores que impiden la conexión a una instancia de Amazon Elastic Compute Cloud (AmazonEC2) mediante Amazon EC2 Instance Connect. Identifica los problemas causados por una Amazon Machine Image (AMI) no compatible, la falta de instalación o configuración del paquete a nivel del sistema operativo, la falta de permisos AWS Identity and Access Management
(IAM) o problemas de configuración de red.
¿Cómo funciona?
El runbook incluye el ID de la EC2 instancia de Amazon, el nombre de usuario, el modo de conexiónCIDR, la IP de origen, el SSH puerto y el nombre del recurso de Amazon (ARN) del IAM rol o usuario que tiene problemas con Amazon EC2 Instance Connect. A continuación, comprueba los requisitos previos para conectarse a una EC2 instancia de Amazon mediante Amazon EC2 Instance Connect:
-
La instancia está en ejecución y en buen estado.
-
La instancia está ubicada en una AWS región compatible con Amazon EC2 Instance Connect.
-
AMIde la instancia es compatible con Amazon EC2 Instance Connect.
-
La instancia puede acceder al servicio de metadatos de instancias (IMDSv2).
-
El paquete Amazon EC2 Instance Connect está correctamente instalado y configurado a nivel del sistema operativo.
-
La configuración de la red (reglas de grupos de seguridadACL, red y tabla de enrutamiento) permite la conexión a la instancia a través de Amazon EC2 Instance Connect.
-
El IAM rol o el usuario que se utiliza para aprovechar Amazon EC2 Instance Connect tiene acceso a las teclas push de la EC2 instancia de Amazon.
importante
-
Para comprobar la instanciaAMI, la IMDSv2 accesibilidad y la instalación del paquete Amazon Instance EC2 Connect, la instancia debe estar SSM gestionada. De lo contrario, omite esos pasos. Para obtener más información, consulta ¿Por qué mi EC2 instancia de Amazon no se muestra como un nodo gestionado
? -
La comprobación de red solo detectará si el grupo de seguridad y ACL las reglas de red bloquean el tráfico cuando SourceIp CIDR se proporciona como parámetro de entrada. De lo contrario, solo mostrará las reglas SSH relacionadas.
-
Las conexiones que utilizan Amazon EC2 Instance Connect Endpoint no se validan en este manual.
-
En el caso de las conexiones privadas, la automatización no comprueba si el SSH cliente está instalado en la máquina de origen ni si puede acceder a la dirección IP privada de la instancia.
Tipo de documento
Automatización
Propietario
Amazon
Plataformas
Linux
Parámetros
IAMPermisos necesarios
El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.
-
ec2:DescribeInstances -
ec2:DescribeSecurityGroups -
ec2:DescribeNetworkAcls -
ec2:DescribeRouteTables -
ec2:DescribeInternetGateways -
iam:SimulatePrincipalPolicy -
ssm:DescribeInstanceInformation -
ssm:ListCommands -
ssm:ListCommandInvocations -
ssm:SendCommand
Instrucciones
Siga estos pasos para configurar la automatización:
-
Navegue hasta
AWSSupport-TroubleshootEC2InstanceConnectla AWS Systems Manager consola. -
Elija Execute automation (Ejecutar automatización).
-
Para los parámetros de entrada, introduzca lo siguiente:
-
InstanceId (Obligatorio):
El ID de la EC2 instancia de Amazon de destino a la que no se pudo conectar mediante Amazon EC2 Instance Connect.
-
AutomationAssumeRole (Opcional):
El ARN IAM rol que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que inicia este runbook.
-
Nombre de usuario (obligatorio):
El nombre de usuario utilizado para conectarse a la EC2 instancia de Amazon mediante Amazon EC2 Instance Connect. Se utiliza para evaluar si se concede el IAM acceso a este usuario en particular.
-
EC2InstanceConnectRoleOrUser(Obligatorio):
El ARN IAM rol o el usuario que utiliza Amazon EC2 Instance Connect para introducir las teclas de la instancia.
-
SSHPort(Opcional):
El SSH puerto configurado en la EC2 instancia de Amazon. El valor predeterminado es
22. El número de puerto debe estar entre1-65535. -
SourceNetworkType (Opcional):
El método de acceso de red a la EC2 instancia de Amazon:
-
Navegador: se conecta desde la consola AWS de administración.
-
Pública: se conecta a la instancia ubicada en una subred pública a través de Internet (por ejemplo, su ordenador local).
-
Privado: te conectas a través de la dirección IP privada de la instancia.
-
-
SourceIpCIDR(Opcional):
La fuente CIDR que incluye la dirección IP del dispositivo (por ejemplo, su ordenador local) desde la que iniciará sesión mediante Amazon EC2 Instance Connect. Ejemplo: 172.31.48.6/32. Si no se proporciona ningún valor con el modo de acceso público o privado, el runbook no evaluará si el grupo de seguridad de la EC2 instancia de Amazon y ACL las reglas de red permiten SSH el tráfico. En su lugar, mostrará las reglas SSH relacionadas.
-
-
Seleccione Ejecutar.
-
Se inicia la automatización.
-
Este documento realiza los siguientes pasos:
-
AssertInitialState:
Garantiza que el estado de la EC2 instancia de Amazon se esté ejecutando. De lo contrario, la automatización finaliza.
-
GetInstanceProperties:
Obtiene las propiedades actuales de la EC2 instancia de Amazon (PlatformDetails PublicIpAddress VpcId,, SubnetId y MetadataHttpEndpoint).
-
GatherInstanceInformationFromSSM:
Obtiene el estado de ping de la instancia de Systems Manager y los detalles del sistema operativo si la instancia está SSM gestionada.
-
CheckIfAWSRegionSupported:
Comprueba si la EC2 instancia de Amazon se encuentra en una AWS región compatible con Amazon EC2 Instance Connect.
-
BranchOnIfAWSRegionSupported:
Continúa la ejecución si Amazon EC2 Instance Connect admite la AWS región. De lo contrario, crea la salida y sale de la automatización.
-
CheckIfInstanceAMIIsSupported:
Comprueba si Amazon Instance Connect admite lo AMI asociado a la EC2 instancia.
-
BranchOnIfInstanceAMIIsSupported:
Si la instancia AMI es compatible, realiza las comprobaciones a nivel del sistema operativo, como la accesibilidad de los metadatos y la instalación y configuración del paquete Amazon Instance EC2 Connect. De lo contrario, comprueba si HTTP los metadatos están habilitados y, a continuación AWS API, pasa al paso de verificación de la red.
-
C heckIMDSReachabilityFromOs:
Ejecuta un script Bash en la instancia de Amazon EC2 Linux de destino para comprobar si es capaz de acceder a. IMDSv2
-
heckEICPackageInstalación en C:
Ejecuta un script Bash en la instancia de Amazon EC2 Linux de destino para comprobar si el paquete Amazon EC2 Instance Connect está correctamente instalado y configurado.
-
C heckSSHConfigFromOs:
Ejecuta un script Bash en la instancia de Amazon EC2 Linux de destino para comprobar si el SSH puerto configurado coincide con el parámetro de entrada `. SSHPort `
-
CheckMetadataHTTPEndpointIsEnabled:
Comprueba si el HTTP punto final del servicio de metadatos de la instancia está activado.
-
heckEICNetworkAcceso a C:
Comprueba si la configuración de la red (reglas de grupos de seguridadACL, red y tabla de enrutamiento) permite la conexión a la instancia a través de Amazon EC2 Instance Connect.
-
C heckIAMRoleOrUserPermissions:
Comprueba si el IAM rol o el usuario utilizado para aprovechar Amazon EC2 Instance Connect tiene acceso a las teclas push de la EC2 instancia de Amazon con el nombre de usuario proporcionado.
-
MakeFinalOutput:
Consolida el resultado de todos los pasos anteriores.
-
-
Una vez finalizado, revise la sección de resultados para ver los resultados detallados de la ejecución:
Ejecución en la que la instancia de destino cumple todos los requisitos previos necesarios:
Ejecución en AMI la que no se admite la instancia de destino:
Referencias
Automatización de Systems Manager
AWS documentación de servicio
