`AWSSupport-SetupIPMonitoringFromVPC`

Deskripsi

AWSSupport-SetupIPMonitoringFromVPCmembuat instance Amazon Elastic Compute Cloud (AmazonEC2) di subnet yang ditentukan dan memantau target IPs (IPv4atauIPv6) yang dipilih dengan terus menjalankan pengujian ping, tracerouteMTR, dan tracetcp. Hasilnya disimpan di CloudWatch log Amazon Logs, dan filter metrik diterapkan untuk memvisualisasikan statistik latensi dan kehilangan paket dengan cepat di dasbor. CloudWatch

Informasi Tambahan

Data CloudWatch Log dapat digunakan untuk pemecahan masalah jaringan dan analisis pola/tren. Selain itu, Anda dapat mengonfigurasi CloudWatch alarm dengan SNS notifikasi Amazon saat kehilangan paket dan/atau latensi mencapai ambang batas. Data juga dapat digunakan saat membuka kasus dengan AWS Support, untuk membantu mengisolasi masalah dengan cepat dan mengurangi waktu penyelesaian saat menyelidiki masalah jaringan.

catatan

Untuk membersihkan sumber daya yang dibuat olehAWSSupport-SetupIPMonitoringFromVPC, Anda dapat menggunakan runbookAWSSupport-TerminateIPMonitoringFromVPC. Untuk informasi selengkapnya, lihat AWSSupport-TerminateIPMonitoringFromVPC.

Jalankan Otomasi ini (konsol)

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

Linux, macOS, Windows

Parameter

AutomationAssumeRole

Tipe: String

Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) dari peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.
CloudWatchLogGroupNamePrefix

Tipe: String

Default:/AWSSupport-SetupIPMonitoringFromVPC

Deskripsi: (Opsional) Awalan yang digunakan untuk setiap grup CloudWatch log yang dibuat untuk hasil pengujian.
CloudWatchLogGroupRetentionInDays

Tipe: String

Nilai yang valid: 1 | 3 | 5 | 7 | 14 | 30 | 60 | 90 | 120 | 150 | 180 | 365 | 400 | 545 | 731 | 1827 | 3653

Default: 7

Deskripsi: (Opsional) Jumlah hari Anda ingin menyimpan hasil pemantauan jaringan untuk.
InstanceType

Tipe: String

Nilai yang valid: t2.micro | t2.small | t2.medium | t2.large | t3.micro | t3.small | t3.medium | t3.large | t4g.micro | t4g.small | t4g.medium | t4g.large

Default: t2.micro

Deskripsi: (Opsional) Jenis EC2 instance untuk EC2Rescue instance. Ukuran yang disarankan: t2.micro.
SubnetId

Tipe: String

Deskripsi: (Wajib) ID subnet untuk contoh monitor. Ketahuilah bahwa jika Anda menentukan subnet pribadi, maka Anda harus memastikan ada akses Internet untuk memungkinkan instance monitor untuk mengatur pengujian (artinya, instal agen CloudWatch Log, berinteraksi dengan Systems Manager dan CloudWatch).
T argetIPs

Tipe: String

Deskripsi: (Wajib) Daftar terpisah koma IPv4s dan/atau IPv6s untuk dipantau. Tidak boleh ada spasi. Ukuran maksimum adalah 255 karakter. Ketahuilah bahwa jika Anda memberikan IP yang tidak valid, maka otomatisasi akan gagal dan mengembalikan pengaturan pengujian.

IAMIzin yang diperlukan

AutomationAssumeRoleParameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.

Disarankan agar pengguna yang menjalankan otomatisasi memiliki kebijakan yang IAM dikelola mazonSSMAutomationPeran yang dilampirkan. Selain itu, pengguna harus memiliki kebijakan berikut yang dilampirkan ke akun pengguna, grup, atau peran mereka:



                {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:CreateRole",
                "iam:CreateInstanceProfile",
                "iam:GetRole",
                "iam:GetInstanceProfile",
                "iam:DetachRolePolicy",
                "iam:AttachRolePolicy",
                "iam:PassRole",
                "iam:AddRoleToInstanceProfile",
                "iam:RemoveRoleFromInstanceProfile",
                "iam:DeleteRole",
                "iam:DeleteInstanceProfile",
                "iam:PutRolePolicy",
                "iam:DeleteRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::
                AWS_account_ID
                :role/AWSSupport/SetupIPMonitoringFromVPC_*",
                "arn:aws:iam::
                AWS_account_ID
                :instance-profile/AWSSupport/SetupIPMonitoringFromVPC_*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "iam:DetachRolePolicy",
                "iam:AttachRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::aws:policy/service-role/AmazonSSMManagedInstanceCore"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "cloudwatch:DeleteDashboards"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeSubnets",
                "ec2:DescribeInstanceTypes",
                "ec2:RunInstances",
                "ec2:TerminateInstances",
                "ec2:DescribeInstanceStatus"
                "ec2:CreateTags",
                "ec2:AssignIpv6Addresses",
                "ec2:DescribeTags",
                "ec2:DescribeInstances",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ssm:GetParameter",
                "ssm:SendCommand",
                "ssm:ListCommands",
                "ssm:ListCommandInvocations",
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

Langkah Dokumen

aws:executeAwsApi- jelaskan subnet yang disediakan.
aws:branch- mengevaluasi argetIPs input T.

(IPv6) Jika T argetIPs berisiIPv6:

aws:assertAwsResourceProperty- periksa subnet yang disediakan memiliki IPv6 kumpulan yang terkait
aws:executeScript- dapatkan arsitektur tipe instans dan jalur parameter publik untuk Amazon Linux 2 terbaru AMI.
aws:executeAwsApi- dapatkan Amazon Linux 2 terbaru AMI dari Parameter Store.
aws:executeAwsApi- buat grup keamanan untuk pengujian di subnet. VPC

(Pembersihan) Jika pembuatan grup keamanan gagal:

aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:executeAwsApi- memungkinkan semua lalu lintas keluar dalam kelompok keamanan uji.

(Pembersihan) Jika pembuatan aturan keluar grup keamanan gagal:

aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:executeAwsApi- buat IAM peran untuk EC2 contoh pengujian

(Pembersihan) Jika pembuatan peran gagal:
1. aws:executeAwsApi- hapus IAM peran yang dibuat oleh otomatisasi, jika ada.
2. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:executeAwsApi- lampirkan kebijakan mazonSSMManaged InstanceCore terkelola A

(Pembersihan) Jika lampiran kebijakan gagal:
1. aws:executeAwsApi- lepaskan kebijakan mazonSSMManaged InstanceCore terkelola A dari peran yang dibuat oleh otomatisasi, jika dilampirkan.
2. aws:executeAwsApi- hapus IAM peran yang dibuat oleh otomatisasi.
3. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:executeAwsApi- lampirkan kebijakan inline untuk memungkinkan pengaturan retensi grup CloudWatch log dan membuat dasbor CloudWatch

(Pembersihan) Jika lampiran kebijakan inline gagal:
1. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi, jika dibuat.
2. aws:executeAwsApi- lepaskan kebijakan mazonSSMManaged InstanceCore terkelola A dari peran yang dibuat oleh otomatisasi.
3. aws:executeAwsApi- hapus IAM peran yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:executeAwsApi- membuat profil IAM instance.

(Pembersihan) Jika pembuatan profil instance gagal:
1. aws:executeAwsApi- hapus profil IAM instance yang dibuat oleh otomatisasi, jika ada.
2. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
3. aws:executeAwsApi- hapus kebijakan mazonSSMManaged InstanceCore terkelola A dari peran yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus IAM peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:executeAwsApi- mengaitkan profil IAM instance ke IAM peran.

(Pembersihan) Jika profil instance dan asosiasi peran gagal:
1. aws:executeAwsApi- Hapus profil IAM instance dari peran, jika terkait.
2. aws:executeAwsApi- hapus profil IAM instance yang dibuat oleh otomatisasi.
3. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- lepaskan kebijakan mazonSSMManaged InstanceCore terkelola A dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- hapus IAM peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:sleep- tunggu profil instance tersedia.
aws:runInstances- buat contoh pengujian di subnet yang ditentukan, dan dengan profil instance yang dibuat sebelumnya terlampir.

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- Hapus profil IAM instance dari peran.
3. aws:executeAwsApi- hapus profil IAM instance yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan mazonSSMManaged InstanceCore terkelola A dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus IAM peran yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:branch- mengevaluasi argetIPs input T.

(IPv6) Jika T argetIPs berisiIPv6:

aws:executeAwsApi- menetapkan IPv6 ke contoh pengujian.
aws:waitForAwsResourceProperty- tunggu instance pengujian menjadi instance terkelola.

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- Hapus profil IAM instance dari peran.
3. aws:executeAwsApi- hapus profil IAM instance yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan mazonSSMManaged InstanceCore terkelola A dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus IAM peran yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:runCommand- instal prasyarat uji:

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- Hapus profil IAM instance dari peran.
3. aws:executeAwsApi- hapus profil IAM instance yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan mazonSSMManaged InstanceCore terkelola A dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus IAM peran yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:runCommand- memvalidasi yang IPs disediakan secara sintaksis benar IPv4 dan/atau alamat: IPv6

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- Hapus profil IAM instance dari peran.
3. aws:executeAwsApi- hapus profil IAM instance yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan mazonSSMManaged InstanceCore terkelola A dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus IAM peran yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:runCommand- tentukan MTR tes untuk masing-masing yang disediakanIPs.

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- Hapus profil IAM instance dari peran.
3. aws:executeAwsApi- hapus profil IAM instance yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan mazonSSMManaged InstanceCore terkelola A dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus IAM peran yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:runCommand- tentukan tes ping pertama untuk masing-masing yang disediakanIPs.

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- Hapus profil IAM instance dari peran.
3. aws:executeAwsApi- hapus profil IAM instance yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan mazonSSMManaged InstanceCore terkelola A dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus IAM peran yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:runCommand- tentukan tes ping kedua untuk masing-masing yang disediakanIPs.

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- Hapus profil IAM instance dari peran.
3. aws:executeAwsApi- hapus profil IAM instance yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan mazonSSMManaged InstanceCore terkelola A dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus IAM peran yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:runCommand- tentukan tes tracepath untuk masing-masing yang disediakan. IPs

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- Hapus profil IAM instance dari peran.
3. aws:executeAwsApi- hapus profil IAM instance yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan mazonSSMManaged InstanceCore terkelola A dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus IAM peran yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:runCommand- tentukan tes traceroute untuk masing-masing yang disediakan. IPs

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- Hapus profil IAM instance dari peran.
3. aws:executeAwsApi- hapus profil IAM instance yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan mazonSSMManaged InstanceCore terkelola A dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus IAM peran yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:runCommand- mengkonfigurasi CloudWatch log.

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- Hapus profil IAM instance dari peran.
3. aws:executeAwsApi- hapus profil IAM instance yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan mazonSSMManaged InstanceCore terkelola A dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus IAM peran yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:runCommand- jadwalkan cronjobs untuk menjalankan setiap tes setiap menit.

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- Hapus profil IAM instance dari peran.
3. aws:executeAwsApi- hapus profil IAM instance yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan mazonSSMManaged InstanceCore terkelola A dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus IAM peran yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:sleep- tunggu tes untuk menghasilkan beberapa data.
aws:runCommand- mengatur retensi grup CloudWatch log yang diinginkan.

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- Hapus profil IAM instance dari peran.
3. aws:executeAwsApi- hapus profil IAM instance yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan mazonSSMManaged InstanceCore terkelola A dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus IAM peran yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:runCommand- mengatur filter metrik grup CloudWatch log.

(Pembersihan) Jika langkah gagal:
1. aws:changeInstanceState- menghentikan contoh pengujian.
2. aws:executeAwsApi- Hapus profil IAM instance dari peran.
3. aws:executeAwsApi- hapus profil IAM instance yang dibuat oleh otomatisasi.
4. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- lepaskan kebijakan mazonSSMManaged InstanceCore terkelola A dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- hapus IAM peran yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.
aws:runCommand- buat CloudWatch dasbor.

(Pembersihan) Jika langkah gagal:
1. aws:executeAwsApi- hapus CloudWatch dasbor, jika ada.
2. aws:changeInstanceState- menghentikan contoh pengujian.
3. aws:executeAwsApi- Hapus profil IAM instance dari peran.
4. aws:executeAwsApi- hapus profil IAM instance yang dibuat oleh otomatisasi.
5. aws:executeAwsApi- hapus kebijakan CloudWatch inline dari peran yang dibuat oleh otomatisasi.
6. aws:executeAwsApi- lepaskan kebijakan mazonSSMManaged InstanceCore terkelola A dari peran yang dibuat oleh otomatisasi.
7. aws:executeAwsApi- hapus IAM peran yang dibuat oleh otomatisasi.
8. aws:executeAwsApi- hapus grup keamanan yang dibuat oleh otomatisasi, jika ada.

Keluaran

createCloudWatchDashboards.Output - dasbor. URL CloudWatch

createManagedInstance. InstanceIds - ID contoh uji.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

AWSConfigRemediation-RemoveVPCDefaultSecurityGroupRules

AWSSupport-TerminateIPMonitoringFromVPC