AWSSupport-TroubleshootManagedInstance - AWS Systems Manager Referência do runbook de automação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSSupport-TroubleshootManagedInstance

Descrição

O runbook AWSSupport-TroubleshootManagedInstance ajuda a determinar por que uma instância do Amazon Elastic Compute Cloud (Amazon EC2) não reporta como gerenciada pelo AWS Systems Manager. Este runbook analisa a configuração da VPC para a instância, incluindo regras de grupo de segurança, endpoints da VPC, regras de lista de controle de acesso (ACL) à rede e tabelas de rotas. Ele também confirma que um perfil de instância no AWS Identity and Access Management (IAM) que contém as permissões necessárias está anexado à instância.

Importante

Esse runbook de automação não avalia as regras de IPv6.

Execute esta automação (console)

Tipo de documento

Automação

Proprietário

Amazon

Plataformas

Linux, macOS, Windows

Parâmetros

  • AutomationAssumeRole

    Tipo: String

    Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.

  • InstanceId

    Tipo: string

    Descrição: (obrigatório) O ID da instância do Amazon EC2 que não está reportando como gerenciada pelo Systems Manager.

Permissões obrigatórias do IAM

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

  • ssm:DescribeAutomationExecutions

  • ssm:DescribeAutomationStepExecutions

  • ssm:DescribeInstanceInformation

  • ssm:DescribeInstanceProperties

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ssm:GetDocument

  • ssm:ListDocuments

  • ssm:StartAutomationExecution

  • iam:ListRoles

  • iam:GetInstanceProfile

  • iam:ListAttachedRolePolicies

  • ec2:DescribeInstances

  • ec2:DescribeNetworkAcls

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeVpcEndpoints

Etapas do documento

  • aws:executeScript :Reúne o PingStatus da instância.

  • aws:branch :Ramifica com base no fato de a instância já estar reportando conforme gerenciado pelo Systems Manager.

  • aws:executeAwsApi :Reúne detalhes sobre a instância, incluindo a configuração da VPC.

  • aws:executeScript :Se aplicável, reúne detalhes adicionais relacionados aos endpoints da VPC que foram implantados para uso com o Systems Manager e confirma que os grupos de segurança anexados ao endpoint da VPC permitem tráfego de entrada na porta TCP 443 da instância.

  • aws:executeScript :Verifica se a tabela de rotas permite tráfego para o endpoint da VPC ou endpoints públicos do Systems Manager.

  • aws:executeScript :Verifica se as regras de network ACL permite tráfego para o endpoint da VPC ou endpoints públicos do Systems Manager.

  • aws:executeScript :Verifica se o tráfego de saída para o endpoint da VPC ou para os endpoints públicos do Systems Manager é permitido pelo grupo de segurança associado à instância.

  • aws:executeScript :Verifica se o perfil de instância anexado à instância inclui uma política gerenciada que fornece as permissões necessárias.

  • aws:branch :Ramifica com base no sistema operacional da instância.

  • aws:executeScript :Fornece referência ao shell script do ssmagent-toolkit-linux.

  • aws:executeScript- Fornece referência ao ssmagent-toolkit-windows PowerShell script.

  • aws:executeScript :Gera a saída final para a automação.

  • aws:executeScript :Se o PingStatus da instância for Online, retorna que a instância já é gerenciada pelo Systems Manager.