AWSSupport-TroubleshootSessionManager - AWS Systems Manager Référence du manuel d'automatisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSSupport-TroubleshootSessionManager

Description

Le AWSSupport-TroubleshootSessionManager runbook vous aide à résoudre les problèmes courants qui vous empêchent de vous connecter à des instances Amazon Elastic Compute Cloud EC2 (Amazon) gérées à l'aide du gestionnaire de session. Le gestionnaire de session est une fonctionnalité de AWS Systems Manager. Ce runbook vérifie les points suivants :

  • Vérifie si l'instance est en cours d'exécution et génère des rapports tels que gérés par Systems Manager.

  • Exécute le AWSSupport-TroubleshootManagedInstance runbook si l'instance n'est pas signalée comme étant gérée par Systems Manager.

  • Vérifie la version de l'SSMagent installée sur l'instance.

  • Vérifie si un profil d'instance contenant une politique recommandée AWS Identity and Access Management (IAM) pour le gestionnaire de session est attaché à l'EC2instance Amazon.

  • Collecte les journaux de SSM l'agent à partir de l'instance.

  • Analyse les préférences de votre gestionnaire de session.

  • Exécute le AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 runbook pour analyser la connectivité de l'instance aux points de terminaison de Session Manager AWS Key Management Service (AWS KMS), Amazon Simple Storage Service (Amazon S3) et CloudWatch Amazon Logs (Logs). CloudWatch

Considérations

  • Les nœuds gérés hybrides ne sont pas pris en charge.

  • Ce runbook vérifie uniquement si une IAM politique gérée recommandée est attachée au profil d'instance. Il n'analyse pas les IAM AWS KMS autorisations contenues dans votre profil d'instance.

Important

Le AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 runbook utilise VPCReachability Analyzer pour analyser la connectivité réseau entre une source et un point de terminaison de service. Vous êtes facturé par analyse effectuée entre une source et une destination. Pour plus de détails, consultez les VPCtarifs Amazon.

Exécuter cette automatisation (console)

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

Linux, macOS, Windows

Paramètres

  • AutomationAssumeRole

    Type : String

    Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

  • InstanceId

    Type : String

    Description : (Obligatoire) L'ID de l'EC2instance Amazon à laquelle vous ne pouvez pas vous connecter à l'aide du Gestionnaire de session.

  • SessionPreferenceDocument

    Type : String

    Par défaut : SSM - SessionManagerRunShell

    Description : (Facultatif) Le nom de votre document de préférences de session. Si vous ne spécifiez pas de document de préférences de session personnalisé lors du démarrage des sessions, utilisez la valeur par défaut.

IAMAutorisations requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

  • ec2:CreateNetworkInsightsPath

  • ec2:DeleteNetworkInsightsAnalysis

  • ec2:DeleteNetworkInsightsPath

  • ec2:StartNetworkInsightsAnalysis

  • tiros:CreateQuery

  • ec2:DescribeAvailabilityZones

  • ec2:DescribeCustomerGateways

  • ec2:DescribeDhcpOptions

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeInternetGateways

  • ec2:DescribeManagedPrefixLists

  • ec2:DescribeNatGateways

  • ec2:DescribeNetworkAcls

  • ec2:DescribeNetworkInsightsAnalyses

  • ec2:DescribeNetworkInsightsPaths

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribePrefixLists

  • ec2:DescribeRegions

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeTransitGatewayAttachments

  • ec2:DescribeTransitGatewayConnects

  • ec2:DescribeTransitGatewayPeeringAttachments

  • ec2:DescribeTransitGatewayRouteTables

  • ec2:DescribeTransitGateways

  • ec2:DescribeTransitGatewayVpcAttachments

  • ec2:DescribeVpcAttribute

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcEndpointServiceConfigurations

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeVpcs

  • ec2:DescribeVpnConnections

  • ec2:DescribeVpnGateways

  • ec2:GetManagedPrefixListEntries

  • ec2:GetTransitGatewayRouteTablePropagations

  • ec2:SearchTransitGatewayRoutes

  • elasticloadbalancing:DescribeListeners

  • elasticloadbalancing:DescribeLoadBalancerAttributes

  • elasticloadbalancing:DescribeLoadBalancers

  • elasticloadbalancing:DescribeRules

  • elasticloadbalancing:DescribeTags

  • elasticloadbalancing:DescribeTargetGroups

  • elasticloadbalancing:DescribeTargetHealth

  • iam:GetInstanceProfile

  • iam:ListAttachedRolePolicies

  • iam:ListRoles

  • iam:PassRole

  • ssm:DescribeAutomationStepExecutions

  • ssm:DescribeInstanceInformation

  • ssm:GetAutomationExecution

  • ssm:GetDocument

  • ssm:ListCommands

  • ssm:ListCommandInvocations

  • ssm:SendCommand

  • ssm:StartAutomationExecution

  • tiros:GetQueryAnswer

  • tiros:GetQueryExplanation

Étapes de document

  1. aws:waitForAwsResourceProperty: attend jusqu'à 6 minutes que votre instance cible passe les vérifications de statut.

  2. aws:executeScript: analyse le document des préférences de session.

  3. aws:executeAwsApi: Obtient le profil ARN d'instance attaché à votre instance.

  4. aws:executeAwsApi: Vérifie si votre instance est signalée comme étant gérée par Systems Manager.

  5. aws:branch: Branches selon que votre instance produit ou non des rapports tels que gérés par Systems Manager.

  6. aws:executeScript: Vérifie si l'SSMagent installé sur votre instance prend en charge le gestionnaire de session.

  7. aws:branch: Branches basées sur la plate-forme de votre instance pour collecter ssm-cli les logs.

  8. aws:runCommand: collecte la sortie des journaux à ssm-cli partir d'un Linux or macOS instance.

  9. aws:runCommand: collecte la sortie des journaux à ssm-cli partir d'un Windows instance.

  10. aws:executeScript: analyse les ssm-cli journaux.

  11. aws:executeScript: Vérifie si une IAM politique recommandée est attachée au profil d'instance.

  12. aws:branch: Détermine s'il faut évaluer la connectivité des ssmmessages terminaux sur la base ssm-cli des journaux.

  13. aws:executeAutomation: Évalue si l'instance peut se connecter à un ssmmessages point de terminaison.

  14. aws:branch: Détermine s'il convient d'évaluer la connectivité du point de terminaison Amazon S3 en fonction ssm-cli des journaux et de vos préférences de session.

  15. aws:executeAutomation: Évalue si l'instance peut se connecter à un point de terminaison Amazon S3.

  16. aws:branch: Détermine s'il convient d'évaluer la connectivité des AWS KMS terminaux en fonction ssm-cli des journaux et de vos préférences de session.

  17. aws:executeAutomation: Évalue si l'instance peut se connecter à un AWS KMS point de terminaison.

  18. aws:branch: détermine s'il faut évaluer la connectivité CloudWatch des terminaux Logs en fonction ssm-cli des journaux et de vos préférences de session.

  19. aws:executeAutomation: Évalue si l'instance peut se connecter à un point de terminaison CloudWatch Logs.

  20. aws:executeAutomation: Exécute le AWSSupport-TroubleshootManagedInstance runbook.

  21. aws:executeScript: Compile le résultat des étapes précédentes et produit un rapport.

Sorties

  • generateReport.EvalReport- Les résultats des vérifications effectuées par le runbook en texte brut.