AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 - AWS Systems Manager オートメーションランブックリファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2

説明

AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 ランブックでは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたはエラスティックネットワークインターフェイスから AWS サービス エンドポイントへの接続が分析されます。IPv6 はサポートされていません。ランブックは、ServiceEndpoint パラメータに指定した値を使用してエンドポイントへの接続を分析します。VPC に AWS PrivateLink エンドポイントが見つからない場合、ランブックは現在の AWS リージョンのサービスのパブリック IP アドレスを使用します。この自動化では、Amazon Virtual Private Cloud の Reachability Analyzer を使用します。詳細については、Reachability Analyzerの「Reachability Analyzer とは」を参照してください。

この自動化では、次の項目がチェックされます。

  • 仮想プライベートクラウド (VPC) が Amazon が提供する DNS サーバーを使用するように設定されているかどうかを確認します。

  • 指定した の VPC AWS サービス に AWS PrivateLink エンドポイントが存在するかどうかを確認します。エンドポイントが見つかると、privateDns 属性がオンになっていることが自動化によって検証されます。

  • AWS PrivateLink エンドポイントがデフォルトのエンドポイントポリシーを使用しているかどうかを確認します。

考慮事項

  • ソースとターゲットの間で分析が実行されるたびに課金されます。詳細については、「Amazon VPC の料金」を参照してください。

  • 自動化中に、ネットワークインサイトパスとネットワークインサイト分析が作成されます。自動化が正常に完了すると、ランブックはこれらのリソースを削除します。クリーンアップステップが失敗した場合、ネットワークインサイトパスはランブックによって削除されないため、手動で削除する必要があります。ネットワークインサイトパスを手動で削除しないと、引き続き AWS アカウントの割り当てにカウントされます。Reachability Analyzer のクォータの詳細については、Reachability Analyzer のReachability Analyzer のクォータを参照してください。

  • プロキシ、ローカル DNS リゾルバー、ホストファイルの使用などのオペレーティングシステムレベルの構成は、Reachability Analyzer が PASS を返しても接続に影響する可能性があります。

  • Reachability Analyzer によって実行されたすべてのチェックの評価を確認します。いずれかのチェックが FAIL ステータスで返されると、全体の到達可能性チェックで PASS ステータスが返されたとしても、接続に影響する可能性があります。

このオートメーションを実行する (コンソール)

ドキュメントタイプ

Automation

所有者

Amazon

[Platforms] (プラットフォーム)

Linux、macOS、Windows

パラメータ

  • AutomationAssumeRole

    型: 文字列

    説明: (オプション) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。

  • ソース

    型: 文字列

    説明: (必須) 到達可能性を分析する Amazon EC2 インスタンスまたはネットワークインターフェイスの ID。

  • ServiceEndpoint

    型: 文字列

    説明: (必須) 到達可能性を分析されるサービスエンドポイントのホスト名。

  • RetainVpcReachabilityAnalysis

    型: 文字列

    デフォルト: false

    説明: (オプション) 作成されたネットワークインサイトパスと関連する分析を保持するかどうかを決定します。デフォルトでは、到達可能性の分析に使用されたリソースは、分析が成功すると削除されます。分析を保存することを選択した場合、ランブックは分析を削除しないため、Amazon VPC コンソールで分析を視覚化できます。自動化出力にはコンソールリンクがあります。

必要な IAM アクセス許可

AutomationAssumeRole パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。

  • ec2:CreateNetworkInsightsPath

  • ec2:DeleteNetworkInsightsAnalysis

  • ec2:DeleteNetworkInsightsPath

  • ec2:DescribeAvailabilityZones

  • ec2:DescribeCustomerGateways

  • ec2:DescribeDhcpOptions

  • ec2:DescribeInstances

  • ec2:DescribeInternetGateways

  • ec2:DescribeManagedPrefixLists

  • ec2:DescribeNatGateways

  • ec2:DescribeNetworkAcls

  • ec2:DescribeNetworkInsightsAnalyses

  • ec2:DescribeNetworkInsightsPaths

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribePrefixLists

  • ec2:DescribeRegions

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeTransitGatewayAttachments

  • ec2:DescribeTransitGatewayPeeringAttachments

  • ec2:DescribeTransitGatewayConnects

  • ec2:DescribeTransitGatewayRouteTables

  • ec2:DescribeTransitGateways

  • ec2:DescribeTransitGatewayVpcAttachments

  • ec2:DescribeVpcAttribute

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcEndpointServiceConfigurations

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeVpcs

  • ec2:DescribeVpnConnections

  • ec2:DescribeVpnGateways

  • ec2:GetManagedPrefixListEntries

  • ec2:GetTransitGatewayRouteTablePropagations

  • ec2:SearchTransitGatewayRoutes

  • ec2:StartNetworkInsightsAnalysis

  • elasticloadbalancing:DescribeListeners

  • elasticloadbalancing:DescribeLoadBalancerAttributes

  • elasticloadbalancing:DescribeLoadBalancers

  • elasticloadbalancing:DescribeRules

  • elasticloadbalancing:DescribeTags

  • elasticloadbalancing:DescribeTargetGroups

  • elasticloadbalancing:DescribeTargetHealth

  • tiros:CreateQuery

  • tiros:GetQueryAnswer

  • tiros:GetQueryExplanation

ドキュメントステップ

  1. aws:executeScript: ホスト名の解決を試みてサービスエンドポイントを検証します。

  2. aws:executeScript: VPC とサブネットの詳細を収集します。

  3. aws:executeScript: VPC の DNS 設定を評価します。

  4. aws:executeScript: VPC エンドポイントチェックを評価します。

  5. aws:executeScript: パブリックサービスエンドポイントに接続するインターネットゲートウェイを検索します。

  6. aws:executeScript: 到達可能性分析に使用する宛先を決定します。

  7. aws:executeScript: Reachability Analyzer を使用してソースからエンドポイントへの到達可能性を分析し、分析が成功したらリソースをクリーンアップします。

  8. aws:executeScript: 到達可能性評価レポートを生成します。

  9. aws:executeScript: JSON 形式での出力を生成します。

[Outputs] (出力)

  • generateReport.EvalReport - 自動化が実行したチェックの結果 (テキスト形式)。

  • generateJsonOutput.Output - 結果の最小バージョン (JSON 形式)。