AWSSupport-TroubleshootSessionManager - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSSupport-TroubleshootSessionManager

Beschreibung

Das AWSSupport-TroubleshootSessionManager Runbook hilft Ihnen bei der Behebung häufiger Probleme, die Sie daran hindern, mithilfe von Session Manager eine Verbindung zu verwalteten Amazon Elastic Compute Cloud (Amazon EC2) -Instances herzustellen. Session Manager ist ein Tool in AWS Systems Manager. Dieses Runbook überprüft Folgendes:

  • Prüft, ob die Instanz läuft und meldet, wie sie von Systems Manager verwaltet wird.

  • Führt das AWSSupport-TroubleshootManagedInstance Runbook aus, wenn die Instanz nicht als von Systems Manager verwaltet gemeldet wird.

  • Überprüft die Version des SSM-Agenten, der auf der Instanz installiert ist.

  • Prüft, ob ein Instance-Profil, das eine empfohlene AWS Identity and Access Management (IAM-) Richtlinie für Session Manager enthält, an die EC2 Amazon-Instance angehängt ist.

  • Sammelt SSM-Agent-Protokolle von der Instance.

  • Analysiert Ihre Session Manager-Einstellungen.

  • Führt das AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 Runbook aus, um die Konnektivität der Instance mit den Endpunkten für Session Manager, AWS Key Management Service (AWS KMS), Amazon Simple Storage Service (Amazon S3) und Amazon CloudWatch Logs (CloudWatch Logs) zu analysieren.

Überlegungen

  • Verwaltete Hybrid-Knoten werden nicht unterstützt.

  • Dieses Runbook prüft nur, ob eine empfohlene verwaltete IAM-Richtlinie an das Instanzprofil angehängt ist. Es analysiert weder IAM noch die in Ihrem AWS KMS Instanzprofil enthaltenen Berechtigungen.

Wichtig

Das AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 Runbook verwendet VPC Reachability Analyzer, um die Netzwerkkonnektivität zwischen einer Quelle und einem Dienstendpunkt zu analysieren. Ihnen wird pro Analyselauf zwischen einer Quelle und einem Ziel in Rechnung gestellt. Weitere Informationen finden Sie unter Amazon VPC-Preise.

Führen Sie diese Automatisierung aus (Konsole)

Art des Dokuments

Automatisierung

Eigentümer

Amazon

Plattformen

LinuxmacOS, Windows

Parameter

  • AutomationAssumeRole

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, mit der Systems Manager Automation die Aktionen in Ihrem Namen ausführen kann. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

  • InstanceId

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Die ID der EC2 Amazon-Instance, zu der Sie mit Session Manager keine Verbindung herstellen können.

  • SessionPreferenceDocument

    Typ: Zeichenfolge

    Standard: SSM- SessionManagerRunShell

    Beschreibung: (Optional) Der Name Ihres Dokuments mit den Sitzungseinstellungen. Wenn Sie beim Starten von Sitzungen kein benutzerdefiniertes Dokument mit den Sitzungseinstellungen angeben, verwenden Sie den Standardwert.

Erforderliche IAM-Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • ec2:CreateNetworkInsightsPath

  • ec2:DeleteNetworkInsightsAnalysis

  • ec2:DeleteNetworkInsightsPath

  • ec2:StartNetworkInsightsAnalysis

  • tiros:CreateQuery

  • ec2:DescribeAvailabilityZones

  • ec2:DescribeCustomerGateways

  • ec2:DescribeDhcpOptions

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeInternetGateways

  • ec2:DescribeManagedPrefixLists

  • ec2:DescribeNatGateways

  • ec2:DescribeNetworkAcls

  • ec2:DescribeNetworkInsightsAnalyses

  • ec2:DescribeNetworkInsightsPaths

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribePrefixLists

  • ec2:DescribeRegions

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeTransitGatewayAttachments

  • ec2:DescribeTransitGatewayConnects

  • ec2:DescribeTransitGatewayPeeringAttachments

  • ec2:DescribeTransitGatewayRouteTables

  • ec2:DescribeTransitGateways

  • ec2:DescribeTransitGatewayVpcAttachments

  • ec2:DescribeVpcAttribute

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcEndpointServiceConfigurations

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeVpcs

  • ec2:DescribeVpnConnections

  • ec2:DescribeVpnGateways

  • ec2:GetManagedPrefixListEntries

  • ec2:GetTransitGatewayRouteTablePropagations

  • ec2:SearchTransitGatewayRoutes

  • elasticloadbalancing:DescribeListeners

  • elasticloadbalancing:DescribeLoadBalancerAttributes

  • elasticloadbalancing:DescribeLoadBalancers

  • elasticloadbalancing:DescribeRules

  • elasticloadbalancing:DescribeTags

  • elasticloadbalancing:DescribeTargetGroups

  • elasticloadbalancing:DescribeTargetHealth

  • iam:GetInstanceProfile

  • iam:ListAttachedRolePolicies

  • iam:ListRoles

  • iam:PassRole

  • ssm:DescribeAutomationStepExecutions

  • ssm:DescribeInstanceInformation

  • ssm:GetAutomationExecution

  • ssm:GetDocument

  • ssm:ListCommands

  • ssm:ListCommandInvocations

  • ssm:SendCommand

  • ssm:StartAutomationExecution

  • tiros:GetQueryAnswer

  • tiros:GetQueryExplanation

Dokumentschritte

  1. aws:waitForAwsResourceProperty: Wartet bis zu 6 Minuten, bis Ihre Ziel-Instance die Statusprüfungen bestanden hat.

  2. aws:executeScript: Analysiert das Dokument mit den Sitzungseinstellungen.

  3. aws:executeAwsApi: Ruft den ARN des Instanzprofils ab, das an Ihre Instance angehängt ist.

  4. aws:executeAwsApi: Prüft, ob Ihre Instance als vom Systems Manager verwaltet gemeldet wird.

  5. aws:branch: Verzweigungen basieren darauf, ob Ihre Instance als von Systems Manager verwaltet gemeldet wird.

  6. aws:executeScript: Prüft, ob der auf Ihrer Instance installierte SSM-Agent Session Manager unterstützt.

  7. aws:branch: Branches, die auf der Plattform Ihrer Instance basieren, um ssm-cli Logs zu sammeln.

  8. aws:runCommand: Sammelt Logs, die ssm-cli von einer Linux macOS Oder-Instanz ausgegeben wurden.

  9. aws:runCommand: Sammelt Logdateien, die ssm-cli von einer Windows Instanz ausgegeben wurden.

  10. aws:executeScript: Analysiert die ssm-cli Protokolle.

  11. aws:executeScript: Prüft, ob eine empfohlene IAM-Richtlinie an das Instanzprofil angehängt ist.

  12. aws:branch: Legt fest, ob die ssmmessages Endpunktkonnektivität anhand von ssm-cli Protokollen bewertet werden soll.

  13. aws:executeAutomation: Prüft, ob die Instanz eine Verbindung zu einem ssmmessages Endpunkt herstellen kann.

  14. aws:branch: Legt anhand von ssm-cli Protokollen und Ihren Sitzungseinstellungen fest, ob die Amazon S3 S3-Endpunktkonnektivität bewertet werden soll.

  15. aws:executeAutomation: Prüft, ob die Instance eine Verbindung zu einem Amazon S3 S3-Endpunkt herstellen kann.

  16. aws:branch: Legt anhand von ssm-cli Protokollen und Ihren Sitzungspräferenzen fest, ob die AWS KMS Endpunktkonnektivität bewertet werden soll.

  17. aws:executeAutomation: Prüft, ob die Instanz eine Verbindung zu einem AWS KMS Endpunkt herstellen kann.

  18. aws:branch: Legt anhand von CloudWatch Protokollen und Ihren Sitzungseinstellungen fest, ob die Konnektivität des ssm-cli Logs-Endpunkts bewertet werden soll.

  19. aws:executeAutomation: Prüft, ob die Instance eine Verbindung zu einem CloudWatch Logs-Endpunkt herstellen kann.

  20. aws:executeAutomation: Führt das AWSSupport-TroubleshootManagedInstance Runbook aus.

  21. aws:executeScript: Kompiliert die Ausgabe der vorherigen Schritte und gibt einen Bericht aus.

Gibt aus

  • generateReport.EvalReport- Die Ergebnisse der vom Runbook durchgeführten Prüfungen im Klartext.