As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWSSupport-TroubleshootEC2InstanceConnect
Descrição
AWSSupport-TroubleshootEC2InstanceConnecta automação ajuda a analisar e detectar erros que impedem a conexão com uma instância do Amazon Elastic Compute Cloud (Amazon EC2) usando o Amazon EC2 Instance Connect. Ele identifica problemas causados por uma Amazon Machine Image (AMI) não suportada, falta de instalação ou configuração de pacotes no nível do sistema operacional, permissões ausentes AWS Identity and Access Management (IAM) ou problemas de configuração de rede.
Como funciona?
O runbook usa o ID da instância do Amazon EC2, o nome de usuário, o modo de conexão, o CIDR IP de origem, a porta SSH e o Amazon Resource Name (ARN) para a função do IAM ou o usuário com problemas com o Amazon EC2 Instance Connect. Em seguida, ele verifica os pré-requisitos para se conectar a uma instância do Amazon EC2 usando o Amazon EC2 Instance Connect:
A instância está em execução e em um estado íntegro.
A instância está localizada em uma AWS região suportada pelo Amazon EC2 Instance Connect.
A AMI da instância é suportada pelo Amazon EC2 Instance Connect.
A instância pode acessar o Instance Metadata Service (IMDSv2).
O pacote Amazon EC2 Instance Connect está devidamente instalado e configurado no nível do sistema operacional.
A configuração da rede (grupos de segurança, ACL de rede e regras da tabela de rotas) permite a conexão com a instância por meio do Amazon EC2 Instance Connect.
A função ou o usuário do IAM que é usado para aproveitar o Amazon EC2 Instance Connect tem acesso às chaves push para a instância do Amazon EC2.
Importante
Para verificar a AMI da instância, a acessibilidade do IMDSv2 e a instalação do pacote Amazon EC2 Instance Connect, a instância deve ser gerenciada por SSM. Caso contrário, ele pula essas etapas. Para obter mais informações, consulte Por que minha instância do Amazon EC2 não está sendo exibida como um nó gerenciado
. A verificação de rede detectará somente se o grupo de segurança e as regras de ACL de rede bloquearem o tráfego quando o SourceIp CIDR for fornecido como um parâmetro de entrada. Caso contrário, ele exibirá apenas regras relacionadas ao SSH.
As conexões usando o Amazon EC2 Instance Connect Endpoint não são validadas neste runbook.
Para conexões privadas, a automação não verifica se o cliente SSH está instalado na máquina de origem e se ele pode acessar o endereço IP privado da instância.
Tipo de documento
Automação
Proprietário
Amazon
Plataformas
Linux
Parâmetros
Permissões obrigatórias do IAM
O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.
ec2:DescribeInstancesec2:DescribeSecurityGroupsec2:DescribeNetworkAclsec2:DescribeRouteTablesec2:DescribeInternetGatewaysiam:SimulatePrincipalPolicyssm:DescribeInstanceInformationssm:ListCommandsssm:ListCommandInvocationsssm:SendCommand
Instruções
Siga estas etapas para configurar a automação:
-
Navegue até o
AWSSupport-TroubleshootEC2InstanceConnectno AWS Systems Manager console. -
Selecione Execute automation (Executar automação).
-
Para os parâmetros de entrada, insira o seguinte:
-
InstanceId (Obrigatório):
O ID da instância de destino do Amazon EC2 à qual você não conseguiu se conectar usando o Amazon EC2 Instance Connect.
-
AutomationAssumeRole (Opcional):
O ARN da função do IAM que permite que o Systems Manager Automation execute as ações em seu nome. Se nenhuma função for especificada, o Systems Manager Automation usa as permissões do usuário que inicia esse runbook.
-
Nome de usuário (obrigatório):
O nome de usuário usado para se conectar à instância do Amazon EC2 usando o Amazon EC2 Instance Connect. Ele é usado para avaliar se o acesso do IAM foi concedido para esse usuário específico.
-
EC2 InstanceConnectRoleOrUser (obrigatório):
O ARN da função ou usuário do IAM que está utilizando o Amazon EC2 Instance Connect para enviar chaves para a instância.
-
Porta SSH (opcional):
A porta SSH configurada na instância do Amazon EC2. O valor padrão é
22. O número da porta deve estar entre1-65535. -
SourceNetworkType (Opcional):
O método de acesso à rede para a instância do Amazon EC2:
Navegador: você se conecta a partir do AWS Management Console.
Público: você se conecta à instância localizada em uma sub-rede pública pela Internet (por exemplo, seu computador local).
Privado: você se conecta por meio do endereço IP privado da instância.
-
SourceIpCIDR (opcional):
O CIDR de origem que inclui o endereço IP do dispositivo (como seu computador local) do qual você fará login usando o Amazon EC2 Instance Connect. Exemplo: 172.31.48.6/32. Se nenhum valor for fornecido com o modo de acesso público ou privado, o runbook não avaliará se o grupo de segurança da instância do Amazon EC2 e as regras de ACL de rede permitem tráfego SSH. Em vez disso, ele exibirá regras relacionadas ao SSH.
-
-
Selecione Executar.
-
A automação é iniciada.
-
O bucket realiza as seguintes etapas:
-
AssertInitialState:
Garante que o status da instância do Amazon EC2 esteja em execução. Caso contrário, a automação termina.
-
GetInstanceProperties:
Obtém as propriedades atuais da instância do Amazon EC2 (PlatformDetails, PublicIpAddress VpcId, SubnetId e MetadataHttpEndpoint).
-
GatherInstanceInformationFromSMS:
Obtém o status de ping da instância do Systems Manager e os detalhes do sistema operacional se a instância for gerenciada por SSM.
-
CheckIfAWSRegionSupported:
Verifica se a instância do Amazon EC2 está localizada em uma região compatível com o Amazon EC2 Instance ConnectAWS.
-
BranchOnIfAWSRegionSupported:
Continua a execução se a AWS região for suportada pelo Amazon EC2 Instance Connect. Caso contrário, ele cria a saída e sai da automação.
-
CheckIfInstanceAMIIsSupported:
Verifica se a AMI associada à instância é compatível com o Amazon EC2 Instance Connect.
-
BranchOnIfInstanceAMIIsSupported:
Se a AMI da instância for compatível, ela executa as verificações no nível do sistema operacional, como a acessibilidade dos metadados e a instalação e configuração do pacote Amazon EC2 Instance Connect. Caso contrário, ele verifica se os metadados HTTP estão habilitados usando a AWS API e, em seguida, avança para a etapa de verificação de rede.
-
Verifique IMDsReachabilityFromOs:
Executa um script Bash na instância Linux do Amazon EC2 de destino para verificar se ela é capaz de acessar o IMDSv2.
-
Verifique o ID: PackageInstallation
Executa um script Bash na instância Linux do Amazon EC2 de destino para verificar se o pacote Amazon EC2 Instance Connect está instalado e configurado corretamente.
-
Verifique o SSHConfigFromOs:
Executa um script Bash na instância Linux do Amazon EC2 de destino para verificar se a porta SSH configurada corresponde ao parâmetro de entrada `SSHport. `
-
CheckMetadataHTTPEndpointIsEnabled:
Verifica se o endpoint HTTP do serviço de metadados da instância está ativado.
-
Verifique o ID: NetworkAccess
Verifica se a configuração da rede (grupos de segurança, ACL de rede e regras da tabela de rotas) permite a conexão com a instância por meio do Amazon EC2 Instance Connect.
-
Verifique se eu sou: RoleOrUserPermissions
Verifica se a função do IAM ou o usuário usado para utilizar o Amazon EC2 Instance Connect tem acesso às chaves push para a instância do Amazon EC2 usando o nome de usuário fornecido.
-
MakeFinalOutput:
Consolida a saída de todas as etapas anteriores.
-
-
Depois de concluído, revise a seção Saídas para obter os resultados detalhados da execução:
Execução em que a instância de destino tem todos os pré-requisitos necessários:
Execução em que a AMI da instância de destino não é suportada:
Referências
Automação do Systems Manager
AWSDocumentação do serviço
