`AWSSupport-SetupIPMonitoringFromVPC`

Deskripsi

AWSSupport-SetupIPMonitoringFromVPCmembuat instance Amazon Elastic Compute Cloud (Amazon EC2) di subnet yang ditentukan dan memantau target IPs (IPv4 atau IPv6) yang dipilih dengan terus menjalankan pengujian ping, MTR, traceroute, dan tracetcp. Hasilnya disimpan di CloudWatch log Amazon Logs, dan filter metrik diterapkan untuk memvisualisasikan statistik latensi dan kehilangan paket dengan cepat di dasbor. CloudWatch

Informasi Tambahan

Data CloudWatch Log dapat digunakan untuk pemecahan masalah jaringan dan analisis pattern/trends. Additionally, you can configure CloudWatch alarms with Amazon SNS notifications when packet loss and/or latensi mencapai ambang batas. Data juga dapat digunakan saat membuka kasus dengan AWS Dukungan, untuk membantu mengisolasi masalah dengan cepat dan mengurangi waktu penyelesaian saat menyelidiki masalah jaringan.

catatan

Untuk membersihkan sumber daya yang dibuat olehAWSSupport-SetupIPMonitoringFromVPC, Anda dapat menggunakan runbookAWSSupport-TerminateIPMonitoringFromVPC. Untuk informasi selengkapnya, lihat AWSSupport-TerminateIPMonitoringFromVPC.

Jalankan Otomasi ini (konsol)

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

Linux, macOS, Windows

Parameter

AutomationAssumeRole

Tipe: String

Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.
CloudWatchLogGroupNamePrefix

Tipe: String

Default:/AWSSupport-SetupIPMonitoringFromVPC

Deskripsi: (Opsional) Awalan digunakan untuk setiap grup CloudWatch log yang dibuat untuk hasil pengujian.
CloudWatchLogGroupRetentionInDays

Tipe: String

Nilai yang valid: 1 | 3 | 5 | 7 | 14 | 30 | 60 | 90 | 120 | 150 | 180 | 365 | 400 | 545 | 731 | 1827 | 3653

Default: 7

Deskripsi: (Opsional) Jumlah hari Anda ingin menyimpan hasil pemantauan jaringan untuk.
InstanceType

Tipe: String

Nilai yang valid: t2.micro | t2.small | t2.medium | t2.large | t3.micro | t3.small | t3.medium | t3.large | t4g.micro | t4g.small | t4g.medium | t4g.large

Default: t2.micro

Deskripsi: (Opsional) Jenis EC2 instans untuk instance EC2 Rescue. Ukuran yang disarankan: t2.micro.
SubnetId

Tipe: String

Deskripsi: (Wajib) ID subnet untuk contoh monitor. Ketahuilah bahwa jika Anda menentukan subnet pribadi, maka Anda harus memastikan ada akses Internet untuk memungkinkan instance monitor untuk mengatur pengujian (artinya, instal agen CloudWatch Log, berinteraksi dengan Systems Manager dan CloudWatch).
Target IPs

Tipe: String

Deskripsi: (Wajib) Daftar terpisah koma IPv4s dan/atau IPv6s untuk dipantau. Tidak boleh ada spasi. Ukuran maksimum adalah 255 karakter. Ketahuilah bahwa jika Anda memberikan IP yang tidak valid, maka otomatisasi akan gagal dan mengembalikan pengaturan pengujian.

Izin IAM yang diperlukan

AutomationAssumeRoleParameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.

Disarankan agar pengguna yang menjalankan otomatisasi memiliki kebijakan terkelola IAM SSMAutomationPeran Amazon yang dilampirkan. Selain itu, pengguna harus memiliki kebijakan berikut yang dilampirkan ke akun pengguna, grup, atau peran mereka:



                {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:CreateRole",
                "iam:CreateInstanceProfile",
                "iam:GetRole",
                "iam:GetInstanceProfile",
                "iam:DetachRolePolicy",
                "iam:AttachRolePolicy",
                "iam:PassRole",
                "iam:AddRoleToInstanceProfile",
                "iam:RemoveRoleFromInstanceProfile",
                "iam:DeleteRole",
                "iam:DeleteInstanceProfile",
                "iam:PutRolePolicy",
                "iam:DeleteRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::
                AWS_account_ID
                :role/AWSSupport/SetupIPMonitoringFromVPC_*",
                "arn:aws:iam::
                AWS_account_ID
                :instance-profile/AWSSupport/SetupIPMonitoringFromVPC_*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "iam:DetachRolePolicy",
                "iam:AttachRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::aws:policy/service-role/AmazonSSMManagedInstanceCore"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "cloudwatch:DeleteDashboards"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeSubnets",
                "ec2:DescribeInstanceTypes",
                "ec2:RunInstances",
                "ec2:TerminateInstances",
                "ec2:DescribeInstanceStatus"
                "ec2:CreateTags",
                "ec2:AssignIpv6Addresses",
                "ec2:DescribeTags",
                "ec2:DescribeInstances",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ssm:GetParameter",
                "ssm:SendCommand",
                "ssm:ListCommands",
                "ssm:ListCommandInvocations",
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

Langkah Dokumen

aws:executeAwsApi- jelaskan subnet yang disediakan.
aws:branch- mengevaluasi IPs input Target.

(IPv6) Jika Target IPs berisi IPv6:

aws:assertAwsResourceProperty- periksa subnet yang disediakan memiliki IPv6 kolam terkait
aws:executeScript- dapatkan arsitektur tipe instans dan jalur parameter publik untuk Amazon Linux 2 terbaru AMI.
aws:executeAwsApi- dapatkan Amazon Linux 2 terbaru AMI dari Parameter Store.
aws:executeAwsApi- buat grup keamanan untuk pengujian di VPC subnet.

(Pembersihan) Jika pembuatan grup keamanan gagal:

aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:executeAwsApi- memungkinkan semua lalu lintas keluar dalam kelompok keamanan uji.

(Pembersihan) Jika pembuatan aturan keluar grup keamanan gagal:

aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:executeAwsApi- buat peran IAM untuk contoh pengujian EC2

(Pembersihan) Jika pembuatan peran gagal:
1. aws:executeAwsApi- hapus peran IAM yang dibuat oleh otomatisasi, jika ada.
2. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:executeAwsApi- lampirkan kebijakan SSMManaged InstanceCore terkelola Amazon

(Pembersihan) Jika lampiran kebijakan gagal:
1. aws:executeAwsApi- lepaskan kebijakan SSMManaged InstanceCore terkelola Amazon dari peran yang dibuat oleh otomatisasi, jika dilampirkan.
2. aws:executeAwsApi- hapus peran IAM yang dibuat oleh otomatisasi.
3. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:executeAwsApi- lampirkan kebijakan inline untuk memungkinkan pengaturan retensi grup CloudWatch log dan membuat dasbor CloudWatch

(Pembersihan) Jika lampiran kebijakan inline gagal:
1. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi, jika dibuat.
2. aws:executeAwsApi- lepaskan kebijakan SSMManaged InstanceCore terkelola Amazon dari peran yang dibuat oleh otomatisasi.
3. aws:executeAwsApi- hapus peran IAM yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:executeAwsApi- membuat profil instans IAM.

(Pembersihan) Jika pembuatan profil instance gagal:
1. aws:executeAwsApi- hapus profil instans IAM yang dibuat oleh otomatisasi, jika ada.
2. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
3. aws:executeAwsApi- hapus kebijakan SSMManaged InstanceCore terkelola Amazon dari peran yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus peran IAM yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:executeAwsApi- mengaitkan profil instans IAM ke peran IAM.

(Pembersihan) Jika profil instance dan asosiasi peran gagal:
1. aws:executeAwsApi- menghapus profil instans IAM dari peran, jika terkait.
2. aws:executeAwsApi- hapus profil instans IAM yang dibuat oleh otomatisasi.
3. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- lepaskan kebijakan SSMManaged InstanceCore terkelola Amazon dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- hapus peran IAM yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:sleep- tunggu profil instance tersedia.
aws:runInstances- buat contoh pengujian di subnet yang ditentukan, dan dengan profil instance yang dibuat sebelumnya terlampir.

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- menghapus profil instans IAM dari peran.
3. aws:executeAwsApi- hapus profil instans IAM yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan SSMManaged InstanceCore terkelola Amazon dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus peran IAM yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:branch- mengevaluasi IPs input Target.

(IPv6) Jika Target IPs berisi IPv6:

aws:executeAwsApi- menetapkan IPv6 ke contoh pengujian.
aws:waitForAwsResourceProperty- tunggu instance pengujian menjadi instance terkelola.

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- menghapus profil instans IAM dari peran.
3. aws:executeAwsApi- hapus profil instans IAM yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan SSMManaged InstanceCore terkelola Amazon dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus peran IAM yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:runCommand- instal prasyarat uji:

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- menghapus profil instans IAM dari peran.
3. aws:executeAwsApi- hapus profil instans IAM yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan SSMManaged InstanceCore terkelola Amazon dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus peran IAM yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:runCommand- memvalidasi yang IPs disediakan secara sintaksis benar IPv4 dan/atau alamat: IPv6

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- menghapus profil instans IAM dari peran.
3. aws:executeAwsApi- hapus profil instans IAM yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan SSMManaged InstanceCore terkelola Amazon dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus peran IAM yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:runCommand- tentukan tes MTR untuk masing-masing yang disediakan IPs.

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- menghapus profil instans IAM dari peran.
3. aws:executeAwsApi- hapus profil instans IAM yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan SSMManaged InstanceCore terkelola Amazon dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus peran IAM yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:runCommand- tentukan tes ping pertama untuk masing-masing yang disediakan IPs.

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- menghapus profil instans IAM dari peran.
3. aws:executeAwsApi- hapus profil instans IAM yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan SSMManaged InstanceCore terkelola Amazon dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus peran IAM yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:runCommand- tentukan tes ping kedua untuk masing-masing yang disediakan IPs.

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- menghapus profil instans IAM dari peran.
3. aws:executeAwsApi- hapus profil instans IAM yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan SSMManaged InstanceCore terkelola Amazon dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus peran IAM yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:runCommand- tentukan tes tracepath untuk masing-masing yang disediakan. IPs

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- menghapus profil instans IAM dari peran.
3. aws:executeAwsApi- hapus profil instans IAM yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan SSMManaged InstanceCore terkelola Amazon dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus peran IAM yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:runCommand- tentukan tes traceroute untuk masing-masing yang disediakan. IPs

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- menghapus profil instans IAM dari peran.
3. aws:executeAwsApi- hapus profil instans IAM yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan SSMManaged InstanceCore terkelola Amazon dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus peran IAM yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:runCommand- mengkonfigurasi CloudWatch log.

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- menghapus profil instans IAM dari peran.
3. aws:executeAwsApi- hapus profil instans IAM yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan SSMManaged InstanceCore terkelola Amazon dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus peran IAM yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:runCommand- jadwalkan cronjobs untuk menjalankan setiap tes setiap menit.

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- menghapus profil instans IAM dari peran.
3. aws:executeAwsApi- hapus profil instans IAM yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan SSMManaged InstanceCore terkelola Amazon dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus peran IAM yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:sleep- tunggu tes untuk menghasilkan beberapa data.
aws:runCommand- mengatur retensi grup CloudWatch log yang diinginkan.

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- menghapus profil instans IAM dari peran.
3. aws:executeAwsApi- hapus profil instans IAM yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan SSMManaged InstanceCore terkelola Amazon dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus peran IAM yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:runCommand- mengatur filter metrik grup CloudWatch log.

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- menghapus profil instans IAM dari peran.
3. aws:executeAwsApi- hapus profil instans IAM yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan SSMManaged InstanceCore terkelola Amazon dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus peran IAM yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:runCommand- buat CloudWatch dasbor.

(Pembersihan) Jika langkah gagal:
1. aws:executeAwsApi- hapus CloudWatch dasbor, jika ada.
2. aws:changeInstanceState- menghentikan contoh pengujian.
3. aws:executeAwsApi- menghapus profil instans IAM dari peran.
4. aws:executeAwsApi- hapus profil instans IAM yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- lepaskan kebijakan SSMManaged InstanceCore terkelola Amazon dari peran yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus peran IAM yang dibuat oleh otomatisasi.
8. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.

Keluaran

createCloudWatchDashboards.Output - URL dasbor. CloudWatch

createManagedInstance. InstanceIds - ID contoh uji.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

AWSConfigRemediation-RemoveVPCDefaultSecurityGroupRules

AWSSupport-TerminateIPMonitoringFromVPC