本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWSSupport-TroubleshootManagedInstance
Description
AWSSupport-TroubleshootManagedInstance Runbook 可協助您判斷 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體為何未報告由 管理 AWS Systems Manager。此 Runbook 會檢閱執行個體的 VPC 組態,包括安全群組規則、VPC 端點、網路存取控制清單 (ACL) 規則和路由表。它也會確認包含所需許可的 AWS Identity and Access Management (IAM) 執行個體設定檔已連接至執行個體。
重要
此自動化 Runbook 不會評估 IPv6 規則。
文件類型
自動化
擁有者
Amazon
平台
Linux、macOS、 Windows
參數
-
AutomationAssumeRole
類型:字串
描述:(選用) 允許 Systems Manager Automation 代表您執行動作的 (IAM) 角色的 AWS Identity and Access Management Amazon Resource Name (ARN)。如果未指定角色,Systems Manager Automation 會使用啟動此 Runbook 的使用者許可。
-
InstanceId
類型:字串
描述:(必要) 未報告為 Systems Manager 所管理的 Amazon EC2 執行個體 ID。
必要的 IAM 許可
AutomationAssumeRole 參數需要下列動作才能成功使用 Runbook。
-
ssm:DescribeAutomationExecutions -
ssm:DescribeAutomationStepExecutions -
ssm:DescribeInstanceInformation -
ssm:DescribeInstanceProperties -
ssm:StartAutomationExecution -
ssm:GetAutomationExecution -
ssm:GetDocument -
ssm:ListDocuments -
ssm:StartAutomationExecution -
iam:ListRoles -
iam:GetInstanceProfile -
iam:ListAttachedRolePolicies -
ec2:DescribeInstances -
ec2:DescribeNetworkAcls -
ec2:DescribeRouteTables -
ec2:DescribeSecurityGroups -
ec2:DescribeVpcEndpoints
文件步驟
-
aws:executeScript- 收集執行個體PingStatus的 。 -
aws:branch- 根據執行個體是否已報告為 Systems Manager 管理的分支。 -
aws:executeAwsApi- 收集執行個體的詳細資訊,包括 VPC 組態。 -
aws:executeScript- 如果適用, 會收集已部署以搭配 Systems Manager 使用的 VPC 端點相關其他詳細資訊,並確認連接到 VPC 端點的安全群組允許從執行個體的 TCP 連接埠 443 上的傳入流量。 -
aws:executeScript- 檢查路由表是否允許流量流向 VPC 端點或公有 Systems Manager 端點。 -
aws:executeScript- 檢查網路 ACL 規則是否允許流量流向 VPC 端點或公有 Systems Manager 端點。 -
aws:executeScript- 檢查與執行個體相關聯的安全群組是否允許傳出流量到 VPC 端點或公有 Systems Manager 端點。 -
aws:executeScript- 檢查連接至執行個體的執行個體描述檔是否包含提供必要許可的受管政策。 -
aws:branch- 根據執行個體的作業系統進行分支。 -
aws:executeScript- 提供ssmagent-toolkit-linuxshell 指令碼的參考。 -
aws:executeScript- 提供ssmagent-toolkit-windowsPowerShell 指令碼的參考。 -
aws:executeScript- 產生自動化的最終輸出。 -
aws:executeScript- 如果執行個體PingStatus的 是Online, 會傳回執行個體已由 Systems Manager 管理。
