AWSSupport-TroubleshootSessionManager - AWS Systems Manager Referencia del manual de automatización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSSupport-TroubleshootSessionManager

Descripción

El AWSSupport-TroubleshootSessionManager manual le ayuda a solucionar problemas comunes que le impiden conectarse a instancias gestionadas de Amazon Elastic Compute Cloud EC2 (Amazon) mediante Session Manager. El administrador de sesiones es una herramienta de. AWS Systems Manager Este manual de procedimientos comprueba lo siguiente:

  • Comprueba si la instancia se está ejecutando e informando como gestionada por Systems Manager.

  • Ejecuta el manual de procedimientos AWSSupport-TroubleshootManagedInstance si la instancia no informa como gestionada por Systems Manager.

  • Comprueba la versión del agente SSM instalada en la instancia.

  • Comprueba si un perfil de instancia que contiene una política recomendada AWS Identity and Access Management (IAM) para Session Manager está adjunto a la EC2 instancia de Amazon.

  • Recopila los registros del agente SSM de la instancia.

  • Analiza sus preferencias de Session Manager.

  • Ejecuta el AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 runbook para analizar la conectividad de la instancia con los puntos de conexión de Session Manager, AWS Key Management Service (AWS KMS), Amazon Simple Storage Service (Amazon S3) y CloudWatch Amazon Logs (Logs). CloudWatch

Consideraciones

  • No se admiten los nodos gestionados híbridos.

  • Este manual de procedimientos solo comprueba si hay una política de IAM administrada recomendada asociada al perfil de instancia. No analiza la IAM ni los permisos AWS KMS que se incluyen en su perfil de instancia.

importante

El manual de procedimientos AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 utiliza el Analizador de accesibilidad de VPC para analizar la conectividad de red entre una fuente y un punto de conexión de servicio. Se le cobrará por cada análisis realizado entre un origen y un destino. Para obtener más información, consulte Precios de Amazon EFS.

Ejecuta esta automatización (consola)

Tipo de documento

Automatización

Propietario

Amazon

Plataformas

Linux, macOS, Windows

Parámetros

  • AutomationAssumeRole

    Tipo: cadena

    Descripción: (opcional) el Nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.

  • InstanceId

    Tipo: cadena

    Descripción: (Obligatorio) El ID de la EC2 instancia de Amazon a la que no puedes conectarte mediante el Administrador de sesiones.

  • SessionPreferenceDocument

    Tipo: cadena

    Predeterminado: SSM- SessionManagerRunShell

    Descripción: (opcional) el nombre de su documento de preferencias de sesión. Si no especifica un documento de preferencias de sesión personalizado al iniciar las sesiones, utilice el valor predeterminado.

Permisos de IAM necesarios

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

  • ec2:CreateNetworkInsightsPath

  • ec2:DeleteNetworkInsightsAnalysis

  • ec2:DeleteNetworkInsightsPath

  • ec2:StartNetworkInsightsAnalysis

  • tiros:CreateQuery

  • ec2:DescribeAvailabilityZones

  • ec2:DescribeCustomerGateways

  • ec2:DescribeDhcpOptions

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeInternetGateways

  • ec2:DescribeManagedPrefixLists

  • ec2:DescribeNatGateways

  • ec2:DescribeNetworkAcls

  • ec2:DescribeNetworkInsightsAnalyses

  • ec2:DescribeNetworkInsightsPaths

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribePrefixLists

  • ec2:DescribeRegions

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeTransitGatewayAttachments

  • ec2:DescribeTransitGatewayConnects

  • ec2:DescribeTransitGatewayPeeringAttachments

  • ec2:DescribeTransitGatewayRouteTables

  • ec2:DescribeTransitGateways

  • ec2:DescribeTransitGatewayVpcAttachments

  • ec2:DescribeVpcAttribute

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcEndpointServiceConfigurations

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeVpcs

  • ec2:DescribeVpnConnections

  • ec2:DescribeVpnGateways

  • ec2:GetManagedPrefixListEntries

  • ec2:GetTransitGatewayRouteTablePropagations

  • ec2:SearchTransitGatewayRoutes

  • elasticloadbalancing:DescribeListeners

  • elasticloadbalancing:DescribeLoadBalancerAttributes

  • elasticloadbalancing:DescribeLoadBalancers

  • elasticloadbalancing:DescribeRules

  • elasticloadbalancing:DescribeTags

  • elasticloadbalancing:DescribeTargetGroups

  • elasticloadbalancing:DescribeTargetHealth

  • iam:GetInstanceProfile

  • iam:ListAttachedRolePolicies

  • iam:ListRoles

  • iam:PassRole

  • ssm:DescribeAutomationStepExecutions

  • ssm:DescribeInstanceInformation

  • ssm:GetAutomationExecution

  • ssm:GetDocument

  • ssm:ListCommands

  • ssm:ListCommandInvocations

  • ssm:SendCommand

  • ssm:StartAutomationExecution

  • tiros:GetQueryAnswer

  • tiros:GetQueryExplanation

Pasos de documentos

  1. aws:waitForAwsResourceProperty: espera hasta 6 minutos para que su instancia de destino supere las comprobaciones de estado.

  2. aws:executeScript: analiza el documento de preferencias de sesión.

  3. aws:executeAwsApi: obtiene el ARN del perfil de instancia asociado a su instancia.

  4. aws:executeAwsApi: comprueba si su instancia informa como gestionada por Systems Manager.

  5. aws:branch: se ramifica en función de si su instancia genera informes según la gestión de Systems Manager.

  6. aws:executeScript: comprueba si el agente SSM instalado en su instancia es compatible con Session Manager.

  7. aws:branch: se ramifican según la plataforma de su instancia para recopilar registros ssm-cli.

  8. aws:runCommand: recopila la salida de los registros ssm-cli de una instancia Linux o macOS.

  9. aws:runCommand: recopila la salida de los registros ssm-cli de una instancia Windows.

  10. aws:executeScript: analiza los registros ssm-cli.

  11. aws:executeScript: comprueba si hay una política de IAM recomendada asociada al perfil de instancia.

  12. aws:branch: determina si se debe evaluar la conectividad del punto de conexión ssmmessages en función de los registros ssm-cli.

  13. aws:executeAutomation: evalúa si la instancia se puede conectar a un punto de conexión ssmmessages.

  14. aws:branch: determina si se debe evaluar la conectividad del punto de conexión de Amazon S3 en función de los registros ssm-cli y sus preferencias de sesión.

  15. aws:executeAutomation: evalúa si la instancia se puede conectar a un punto de conexión de Amazon S3.

  16. aws:branch: Determina si se debe evaluar la conectividad del AWS KMS punto final en función de ssm-cli los registros y las preferencias de la sesión.

  17. aws:executeAutomation: Evalúa si la instancia se puede conectar a un AWS KMS punto final.

  18. aws:branch: Determina si se debe evaluar la conectividad de CloudWatch los puntos finales de ssm-cli Logs en función de los registros y de sus preferencias de sesión.

  19. aws:executeAutomation: Evalúa si la instancia se puede conectar a un punto final de CloudWatch Logs.

  20. aws:executeAutomation: ejecuta el manual de procedimientos AWSSupport-TroubleshootManagedInstance.

  21. aws:executeScript: compila el resultado de los pasos anteriores y genera un informe.

Salidas

  • generateReport.EvalReport: los resultados de las comprobaciones realizadas por el manual de procedimientos en texto sin formato.