AWSSupport-TroubleshootLambdaInternetAccess - AWS Systems Manager Riferimento al runbook di automazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSSupport-TroubleshootLambdaInternetAccess

Descrizione

Il AWSSupport-TroubleshootLambdaInternetAccess runbook ti aiuta a risolvere i problemi di accesso a Internet per una AWS Lambda funzione che è stata lanciata in Amazon Virtual Private Cloud (Amazon). VPC Risorse come i percorsi di sottorete, le regole dei gruppi di sicurezza e le regole della lista di controllo degli accessi alla rete (ACL) vengono esaminate per confermare che l'accesso a Internet in uscita è consentito.

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

Linux, macOS, Windows

Parametri

  • AutomationAssumeRole

    Tipo: stringa

    Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

  • FunctionName

    Tipo: stringa

    Descrizione: (Obbligatorio) Il nome della funzione Lambda per la quale desideri risolvere i problemi di accesso a Internet.

  • destinationIp

    Tipo: stringa

    Descrizione: (Obbligatorio) L'indirizzo IP di destinazione a cui desideri stabilire una connessione in uscita.

  • destinationPort

    Tipo: stringa

    Impostazione predefinita: 443

    Descrizione: (Facoltativo) La porta di destinazione su cui si desidera stabilire una connessione in uscita.

Autorizzazioni IAM richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

  • lambda:GetFunction

  • ec2:DescribeRouteTables

  • ec2:DescribeNatGateways

  • ec2:DescribeSecurityGroups

  • ec2:DescribeNetworkAcls

Fasi del documento

  • aws:executeScript- Verifica la configurazione di varie risorse nel luogo in VPC cui è stata lanciata la funzione Lambda.

  • aws:branch- Rami in base al fatto che la funzione Lambda specificata sia VPC o meno in a.

  • aws:executeScript- Esamina le route della tabella di routing per la sottorete in cui è stata lanciata la funzione Lambda e verifica che siano presenti le route verso un gateway di traduzione degli indirizzi di rete NAT () e un gateway Internet. Conferma che la funzione Lambda non si trova in una sottorete pubblica.

  • aws:executeScript- Verifica che il gruppo di sicurezza associato alla funzione Lambda consenta l'accesso a Internet in uscita in base ai valori specificati per destinationIp i parametri and. destinationPort

  • aws:executeScript- Verifica che le ACL regole associate alle sottoreti della funzione Lambda e il NAT gateway consenta l'accesso a Internet in uscita in base ai valori specificati per i parametri and. destinationIp destinationPort

Output

checkVpc.vpc: l'ID del VPC punto in cui è stata lanciata la funzione Lambda.

checkVpc.subnet - La IDs delle sottoreti in cui è stata lanciata la funzione Lambda.

checkVpc. securityGroups - Gruppi di sicurezza associati alla funzione Lambda.

controllareNACL. NACL - Messaggio di analisi con i nomi delle risorse. LambdaIpsi riferisce all'indirizzo IP privato dell'interfaccia elastic network per la funzione Lambda. L'LambdaIpRulesoggetto viene generato solo per le sottoreti che hanno un percorso verso un gateway. NAT Il seguente contenuto è un esempio dell'output. 

{
   "subnet-1234567890":{
      "NACL":"acl-1234567890",
      "destinationIp_Egress":"Allowed",
      "destinationIp_Ingress":"notAllowed",
      "Analysis":"This NACL has an allow rule for Egress traffic but there is no Ingress rule. Please allow the destination IP / destionation port in Ingress rule",
      "LambdaIpRules":{
         "{LambdaIp}":{
            "Egress":"notAllowed",
            "Ingress":"notAllowed",
            "Analysis":"This is a NAT subnet NACL. It does not have ingress or egress rule allowed in it for Lambda's corresponding private ip {LambdaIp} Please allow this IP in your egress and ingress NACL rules"
         }
      }
   },
   "subnet-0987654321":{
      "NACL":"acl-0987654321",
      "destinationIp_Egress":"Allowed",
      "destinationIp_Ingress":"notAllowed",
      "Analysis":"This NACL has an allow rule for Egress traffic but there is no Ingress rule. Please allow the destination IP / destionation port in Ingress rule"
   }
}

checkSecurityGroups.secgrps: analisi per il gruppo di sicurezza associato alla funzione Lambda. Il seguente contenuto è un esempio dell'output.

{
   "sg-123456789":{
      "Status":"Allowed",
      "Analysis":"This security group has allowed destintion IP and port in its outbuond rule."
   }
}

checkSubnet.subnets: analisi delle sottoreti VPC associate alla funzione Lambda. Il seguente contenuto è un esempio dell'output.

{
   "subnet-0c4ee6cdexample15":{
      "Route":{
         "DestinationCidrBlock":"8.8.8.0/26",
         "NatGatewayId":"nat-00f0example69fdec",
         "Origin":"CreateRoute",
         "State":"active"
      },
      "Analysis":"This Route Table has an active NAT gateway path. Also, The NAT gateway is launched in public subnet",
      "RouteTable":"rtb-0b1fexample16961b"
   }
}