Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWSSupport-TroubleshootLambdaInternetAccess
Deskripsi
AWSSupport-TroubleshootLambdaInternetAccess
Runbook membantu Anda memecahkan masalah akses internet untuk AWS Lambda fungsi yang diluncurkan ke Amazon Virtual Private Cloud (Amazon). VPC Sumber daya seperti rute subnet, aturan grup keamanan, dan aturan daftar kontrol akses jaringan (ACL) ditinjau untuk mengonfirmasi akses internet keluar diizinkan.
Jenis dokumen
Otomatisasi
Pemilik
Amazon
Platform
Linux, macOS, Windows
Parameter
-
AutomationAssumeRole
Tipe: String
Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) dari peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.
-
FunctionName
Tipe: String
Deskripsi: (Wajib) Nama fungsi Lambda yang ingin Anda pecahkan masalah akses internet.
-
destinationIp
Tipe: String
Deskripsi: (Wajib) Alamat IP tujuan yang ingin Anda buat koneksi keluar.
-
destinationPort
Tipe: String
Standar: 443
Deskripsi: (Opsional) Port tujuan yang ingin Anda buat koneksi keluar.
IAMIzin yang diperlukan
AutomationAssumeRole
Parameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.
-
lambda:GetFunction
-
ec2:DescribeRouteTables
-
ec2:DescribeNatGateways
-
ec2:DescribeSecurityGroups
-
ec2:DescribeNetworkAcls
Langkah Dokumen
-
aws:executeScript
- Memverifikasi konfigurasi berbagai sumber daya di VPC tempat fungsi Lambda diluncurkan. -
aws:branch
- Cabang berdasarkan apakah fungsi Lambda yang ditentukan ada dalam a VPC atau tidak. -
aws:executeScript
- Meninjau rute tabel rute untuk subnet tempat fungsi Lambda diluncurkan, dan memverifikasi bahwa rute ke gateway terjemahan alamat jaringan NAT (), dan gateway internet hadir. Mengonfirmasi bahwa fungsi Lambda tidak ada dalam subnet publik. -
aws:executeScript
- Memverifikasi grup keamanan yang terkait dengan fungsi Lambda memungkinkan akses internet keluar berdasarkan nilai yang ditentukan untukdestinationIp
dan parameter.destinationPort
-
aws:executeScript
- Memverifikasi ACL aturan yang terkait dengan subnet fungsi Lambda dan NAT gateway memungkinkan akses internet keluar berdasarkan nilai yang ditentukan untuk dan parameter.destinationIp
destinationPort
Keluaran
checkVpc.vpc - ID VPC tempat fungsi Lambda Anda diluncurkan.
checkVpc.subnet - Subnet tempat fungsi Lambda Anda diluncurkan. IDs
checkVpc. securityGroups - Grup keamanan yang terkait dengan fungsi Lambda.
periksaNACL. NACL- Pesan analisis dengan nama sumber daya. LambdaIp
mengacu pada alamat IP pribadi dari elastic network interface untuk fungsi Lambda Anda. LambdaIpRules
Objek hanya dihasilkan untuk subnet yang memiliki rute ke NAT gateway. Konten berikut adalah contoh dari output.
{ "subnet-1234567890":{ "NACL":"acl-1234567890", "destinationIp_Egress":"Allowed", "destinationIp_Ingress":"notAllowed", "Analysis":"This NACL has an allow rule for Egress traffic but there is no Ingress rule. Please allow the destination IP / destionation port in Ingress rule", "LambdaIpRules":{ "{LambdaIp}":{ "Egress":"notAllowed", "Ingress":"notAllowed", "Analysis":"This is a NAT subnet NACL. It does not have ingress or egress rule allowed in it for Lambda's corresponding private ip {LambdaIp} Please allow this IP in your egress and ingress NACL rules" } } }, "subnet-0987654321":{ "NACL":"acl-0987654321", "destinationIp_Egress":"Allowed", "destinationIp_Ingress":"notAllowed", "Analysis":"This NACL has an allow rule for Egress traffic but there is no Ingress rule. Please allow the destination IP / destionation port in Ingress rule" } }
checkSecurityGroups.secgrps - Analisis untuk grup keamanan yang terkait dengan fungsi Lambda Anda. Konten berikut adalah contoh dari output.
{ "sg-123456789":{ "Status":"Allowed", "Analysis":"This security group has allowed destintion IP and port in its outbuond rule." } }
checkSubnet.subnets - Analisis untuk subnet yang VPC terkait dengan fungsi Lambda Anda. Konten berikut adalah contoh dari output.
{ "subnet-0c4ee6cdexample15":{ "Route":{ "DestinationCidrBlock":"8.8.8.0/26", "NatGatewayId":"nat-00f0example69fdec", "Origin":"CreateRoute", "State":"active" }, "Analysis":"This Route Table has an active NAT gateway path. Also, The NAT gateway is launched in public subnet", "RouteTable":"rtb-0b1fexample16961b" } }