AWSSupport-TroubleshootLambdaInternetAccess - AWS Systems Manager Referência do runbook de automação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSSupport-TroubleshootLambdaInternetAccess

Descrição

O AWSSupport-TroubleshootLambdaInternetAccess runbook ajuda você a solucionar problemas de acesso à Internet para uma AWS Lambda função que foi lançada na Amazon Virtual Private Cloud (Amazon VPC). Recursos como rotas de sub-rede, regras de grupos de segurança e regras de lista de controle de acesso (ACL) à rede são revisados para confirmar se o acesso de saída à Internet é permitido.

Execute esta automação (console)

Tipo de documento

Automação

Proprietário

Amazon

Plataformas

Linux, macOS, Windows

Parâmetros

  • AutomationAssumeRole

    Tipo: String

    Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.

  • FunctionName

    Tipo: sequência

    Descrição: (obrigatório) O nome da função do Lambda para a qual deseja solucionar problemas de acesso à Internet.

  • destinationIp

    Tipo: sequência

    Descrição: (obrigatório) O endereço IP de destino com o qual deseja estabelecer uma conexão de saída.

  • destinationPort

    Tipo: sequência

    Padrão: 443

    Descrição: (opcional) A porta de destino com o qual deseja estabelecer uma conexão de saída.

Permissões obrigatórias do IAM

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

  • lambda:GetFunction

  • ec2:DescribeRouteTables

  • ec2:DescribeNatGateways

  • ec2:DescribeSecurityGroups

  • ec2:DescribeNetworkAcls

Etapas do documento

  • aws:executeScript :Verifica a configuração de vários recursos na VPC onde a função do Lambda foi lançada.

  • aws:branch :Ramifica com base no fato de a função do Lambda especificada estar em uma VPC ou não.

  • aws:executeScript :Analisa as rotas da tabela de rotas da sub-rede em que a função do Lambda foi iniciada e verifica se as rotas para um gateway de conversão de endereços de rede (NAT) e um gateway da internet estão presentes. Confirma que a função do Lambda não está em uma sub-rede pública.

  • aws:executeScript :Verifica se o grupo de segurança associado à função do Lambda permite acesso externo à Internet com base nos valores especificados para os parâmetros destinationIp e destinationPort.

  • aws:executeScript :Verifica se as regras da ACL associadas às sub-redes da função do Lambda e o gateway NAT permitem acesso externo à Internet com base nos valores especificados para os parâmetros destinationIp e destinationPort.

Saídas

checkVpc.vpc :o ID da VPC em que a função do Lambda foi lançada.

checkVpc.subnet :os IDs das sub-redes em que a função do Lambda foi lançada.

checkVpc.securityGroups :grupos de segurança associados à função do Lambda.

checkNACL.NACL :Mensagem de análise com nomes de recursos. LambdaIp refere-se ao endereço IP privado da interface de rede elástica para a função do Lambda. O objeto LambdaIpRules é gerado somente para sub-redes que têm uma rota para um gateway NAT. O conteúdo a seguir é um exemplo de saída. 

{
   "subnet-1234567890":{
      "NACL":"acl-1234567890",
      "destinationIp_Egress":"Allowed",
      "destinationIp_Ingress":"notAllowed",
      "Analysis":"This NACL has an allow rule for Egress traffic but there is no Ingress rule. Please allow the destination IP / destionation port in Ingress rule",
      "LambdaIpRules":{
         "{LambdaIp}":{
            "Egress":"notAllowed",
            "Ingress":"notAllowed",
            "Analysis":"This is a NAT subnet NACL. It does not have ingress or egress rule allowed in it for Lambda's corresponding private ip {LambdaIp} Please allow this IP in your egress and ingress NACL rules"
         }
      }
   },
   "subnet-0987654321":{
      "NACL":"acl-0987654321",
      "destinationIp_Egress":"Allowed",
      "destinationIp_Ingress":"notAllowed",
      "Analysis":"This NACL has an allow rule for Egress traffic but there is no Ingress rule. Please allow the destination IP / destionation port in Ingress rule"
   }
}

check SecurityGroups .secgrps - Análise do grupo de segurança associado à sua função Lambda. O conteúdo a seguir é um exemplo de saída.

{
   "sg-123456789":{
      "Status":"Allowed",
      "Analysis":"This security group has allowed destintion IP and port in its outbuond rule."
   }
}

checkSubnet.subnets :Análise das sub-redes na VPC associadas à função do Lambda. O conteúdo a seguir é um exemplo de saída.

{
   "subnet-0c4ee6cdexample15":{
      "Route":{
         "DestinationCidrBlock":"8.8.8.0/26",
         "NatGatewayId":"nat-00f0example69fdec",
         "Origin":"CreateRoute",
         "State":"active"
      },
      "Analysis":"This Route Table has an active NAT gateway path. Also, The NAT gateway is launched in public subnet",
      "RouteTable":"rtb-0b1fexample16961b"
   }
}