AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 - AWS Systems Manager 자동화 런북 참조

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2

설명

AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 실행서는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 또는 탄력적 네트워크 인스턴스에서 AWS 서비스 엔드포인트로의 연결을 분석합니다. IPv6은 지원되지 않습니다. 실행서는 ServiceEndpoint 파라미터에 대해 지정하는 값을 사용하여 엔드포인트에 대한 연결을 분석합니다. VPC에서 AWS PrivateLink 엔드포인트를 찾을 수 없는 경우, 실행서는 현재 AWS 리전의 서비스에 대한 퍼블릭 IP 주소를 사용합니다. 이 자동화는 Amazon Virtual Private Cloud의 Reachability Analyzer를 사용합니다. 자세한 내용은 Reachability AnalyzerReachability Analyzer가 무엇인가요?를 참조하세요.

이 자동화는 다음 사항을 확인합니다.

  • Virtual Private Cloud(VPC)가 Amazon에서 제공한 DNS 서버를 사용하도록 구성되어 있는지 여부를 확인합니다.

  • 지정한 AWS PrivateLink 엔드포인트가 VPC에 존재하는지 확인합니다. AWS 서비스 엔드포인트가 발견되면, 자동화가 privateDns 속성이 켜져 있는지 확인합니다.

  • 엔드포인트가 기본 AWS PrivateLink 엔드포인트 정책을 사용하고 있는지 확인합니다.

고려 사항

  • 소스와 대상 간의 분석 실행당 요금이 부과됩니다. 자세한 내용은 Amazon VPC 요금을 참조하세요.

  • 자동화 중에, 네트워크 인사이트 경로와 네트워크 인사이트 분석이 생성됩니다. 자동화가 성공적으로 완료되면, 실행서가 이러한 리소스를 삭제합니다. 정리 단계가 실패하는 경우, 네트워크 인사이트 경로가 실행서에 의해 삭제되지 않으므로 수동으로 이 내용을 삭제해야 합니다. 네트워크 인사이트 경로를 수동으로 삭제하지 않으면 AWS 계정의 할당량에 해당 내용이 계속 포함됩니다. Reachability Analyzer의 할당량에 대한 자세한 내용은 Reachability AnalyzerReachability Analyzer의 할당량을 참조하세요.

  • 프록시, 로컬 DNS 해석기 또는 호스트 파일 사용과 같은 운영 체제 수준 구성은 Reachability Analyzer가 PASS을 반환하더라도 연결에 영향을 줄 수 있습니다.

  • Reachability Analyzer에서 수행한 모든 검사의 평가를 검토하세요. 검사 중 하나라도 FAIL 상태로 반환되면, 전체 접근성 검사에서 PASS 상태로 반환되더라도 연결에 영향을 미칠 수 있습니다.

이 자동화 실행(콘솔)

문서 유형

자동화

소유자

Amazon

플랫폼

Linux, macOS, Windows

Parameters

  • AutomationAssumeRole

    타입: 문자열

    설명: (선택 사항) 사용자를 대신하여 Systems Manager Automation을 통해 작업을 수행할 수 있도록 허용하는 AWS Identity and Access Management (IAM) 역할의 Amazon 리소스 이름(ARN)입니다. 역할을 지정하지 않은 경우, Systems Manager Automation에서는 이 실행서를 시작하는 사용자의 권한을 사용합니다.

  • 소스

    타입: 문자열

    설명: (필수) 접근성을 분석하려는 Amazon EC2 인스턴스 또는 네트워크 인터페이스의 ID입니다.

  • ServiceEndpoint

    타입: 문자열

    설명: (필수) 접근성을 분석하려는 서비스 엔드포인트의 호스트 이름입니다.

  • RetainVpcReachabilityAnalysis

    타입: 문자열

    기본값: false

    설명: (선택 사항) 생성된 네트워크 인사이트 경로 및 관련 분석을 유지할지 여부를 결정합니다. 기본적으로 접근성 분석에 사용된 리소스는 분석에 성공한 후에 삭제됩니다. 분석을 보존하기로 선택한 경우, 실행서는 분석을 삭제하지 않으며 Amazon VPC 콘솔에서 분석을 시각화할 수 있습니다. 콘솔 링크는 자동화 출력본을 통해 사용할 수 있습니다.

필수 IAM 권한

실행서를 성공적으로 사용하려면 AutomationAssumeRole 파라미터에 다음 작업이 필요합니다.

  • ec2:CreateNetworkInsightsPath

  • ec2:DeleteNetworkInsightsAnalysis

  • ec2:DeleteNetworkInsightsPath

  • ec2:DescribeAvailabilityZones

  • ec2:DescribeCustomerGateways

  • ec2:DescribeDhcpOptions

  • ec2:DescribeInstances

  • ec2:DescribeInternetGateways

  • ec2:DescribeManagedPrefixLists

  • ec2:DescribeNatGateways

  • ec2:DescribeNetworkAcls

  • ec2:DescribeNetworkInsightsAnalyses

  • ec2:DescribeNetworkInsightsPaths

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribePrefixLists

  • ec2:DescribeRegions

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeTransitGatewayAttachments

  • ec2:DescribeTransitGatewayPeeringAttachments

  • ec2:DescribeTransitGatewayConnects

  • ec2:DescribeTransitGatewayRouteTables

  • ec2:DescribeTransitGateways

  • ec2:DescribeTransitGatewayVpcAttachments

  • ec2:DescribeVpcAttribute

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcEndpointServiceConfigurations

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeVpcs

  • ec2:DescribeVpnConnections

  • ec2:DescribeVpnGateways

  • ec2:GetManagedPrefixListEntries

  • ec2:GetTransitGatewayRouteTablePropagations

  • ec2:SearchTransitGatewayRoutes

  • ec2:StartNetworkInsightsAnalysis

  • elasticloadbalancing:DescribeListeners

  • elasticloadbalancing:DescribeLoadBalancerAttributes

  • elasticloadbalancing:DescribeLoadBalancers

  • elasticloadbalancing:DescribeRules

  • elasticloadbalancing:DescribeTags

  • elasticloadbalancing:DescribeTargetGroups

  • elasticloadbalancing:DescribeTargetHealth

  • tiros:CreateQuery

  • tiros:GetQueryAnswer

  • tiros:GetQueryExplanation

문서 단계

  1. aws:executeScript: 호스트 이름 확인을 시도하여 서비스 엔드포인트를 검증합니다.

  2. aws:executeScript: VPC 및 서브넷에 대한 세부 정보를 수집합니다.

  3. aws:executeScript: VPC의 DNS 구성을 평가합니다.

  4. aws:executeScript: VPC 엔드포인트 검사를 평가합니다.

  5. aws:executeScript: 퍼블릭 서비스 엔드포인트에 연결할 인터넷 게이트웨이를 찾습니다.

  6. aws:executeScript: 접근성 분석에 사용할 대상을 결정합니다.

  7. aws:executeScript: Reachability Analyzer를 사용하여 소스에서 엔드포인트까지의 접근성을 분석하고, 분석에 성공하면 리소스를 정리합니다.

  8. aws:executeScript: 접근성 평가 보고서를 생성합니다.

  9. aws:executeScript: JSON의 출력본을 생성합니다.

출력

  • generateReport.EvalReport - 자동화를 통해 수행된 검사 결과를 텍스트 형식으로 표시합니다.

  • generateJsonOutput.Output - JSON 형식의 최소 결과 버전입니다.