AWSSupport-TroubleshootEC2InstanceConnect - AWS Systems Manager Referencia del manual de automatización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSSupport-TroubleshootEC2InstanceConnect

Descripción

AWSSupport-TroubleshootEC2InstanceConnectla automatización ayuda a analizar y detectar errores que impiden la conexión a una instancia de Amazon Elastic Compute Cloud (Amazon EC2) mediante Amazon EC2 Instance Connect. Identifica los problemas causados por una Amazon Machine Image (AMI) no compatible, la falta de instalación o configuración del paquete a nivel del sistema operativo, la falta de permisos AWS Identity and Access Management (IAM) o problemas de configuración de la red.

¿Cómo funciona?

El runbook incluye el ID de la EC2 instancia de Amazon, el nombre de usuario, el modo de conexión, el CIDR de la IP de origen, el puerto SSH y el nombre del recurso de Amazon (ARN) del rol de IAM o del usuario que tiene problemas con Amazon Instance Connect. EC2 A continuación, comprueba los requisitos previos para conectarse a una EC2 instancia de Amazon mediante Amazon EC2 Instance Connect:

  • La instancia está en ejecución y en buen estado.

  • La instancia está ubicada en una AWS región compatible con Amazon EC2 Instance Connect.

  • Amazon Instance Connect admite la AMI de la EC2 instancia.

  • La instancia puede acceder al Servicio de metadatos de instancias (IMDSv2).

  • El paquete Amazon EC2 Instance Connect está correctamente instalado y configurado a nivel del sistema operativo.

  • La configuración de red (grupos de seguridad, ACL de red y reglas de tabla de enrutamiento) permite la conexión a la instancia a través de Amazon EC2 Instance Connect.

  • El rol o usuario de IAM que se utiliza para aprovechar Amazon EC2 Instance Connect tiene acceso a las teclas push de la EC2 instancia de Amazon.

importante

  • Para comprobar la AMI de la instancia, la IMDSv2 accesibilidad y la instalación del paquete Amazon Instance EC2 Connect, la instancia debe estar gestionada por SSM. De lo contrario, omite esos pasos. Para obtener más información, consulta ¿Por qué mi EC2 instancia de Amazon no se muestra como un nodo gestionado?

  • La comprobación de red solo detectará si el grupo de seguridad y las reglas de ACL de la red bloquean el tráfico cuando se proporciona el SourceIp CIDR como parámetro de entrada. De lo contrario, solo mostrará las reglas relacionadas con SSH.

  • Las conexiones que utilizan Amazon EC2 Instance Connect Endpoint no se validan en este manual.

  • En el caso de las conexiones privadas, la automatización no comprueba si el cliente SSH está instalado en la máquina de origen ni si puede acceder a la dirección IP privada de la instancia.

Tipo de documento

Automatización

Propietario

Amazon

Plataformas

Linux

Parámetros

Permisos de IAM necesarios

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

  • ec2:DescribeInstances

  • ec2:DescribeSecurityGroups

  • ec2:DescribeNetworkAcls

  • ec2:DescribeRouteTables

  • ec2:DescribeInternetGateways

  • iam:SimulatePrincipalPolicy

  • ssm:DescribeInstanceInformation

  • ssm:ListCommands

  • ssm:ListCommandInvocations

  • ssm:SendCommand

Instrucciones

Siga estos pasos para configurar la automatización:

  1. Navegue hasta AWSSupport-TroubleshootEC2InstanceConnectla AWS Systems Manager consola.

  2. Elija Execute automation (Ejecutar automatización).

  3. Para los parámetros de entrada, introduzca lo siguiente:

    • InstanceId (Obligatorio):

      El ID de la EC2 instancia de Amazon de destino a la que no se pudo conectar mediante Amazon EC2 Instance Connect.

    • AutomationAssumeRole (Opcional):

      El ARN de la función de IAM que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que inicia este runbook.

    • Nombre de usuario (obligatorio):

      El nombre de usuario utilizado para conectarse a la EC2 instancia de Amazon mediante Amazon EC2 Instance Connect. Se utiliza para evaluar si se concede el acceso de IAM a este usuario en particular.

    • EC2InstanceConnectRoleOrUser(Obligatorio):

      El ARN del rol o usuario de IAM que utiliza Amazon Instance EC2 Connect para introducir teclas en la instancia.

    • SSHPort (Opcional):

      El puerto SSH configurado en la EC2 instancia de Amazon. El valor predeterminado es 22. El número de puerto debe estar intermedio1-65535.

    • SourceNetworkType (Opcional):

      El método de acceso de red a la EC2 instancia de Amazon:

      • Navegador: se conecta desde la consola AWS de administración.

      • Pública: se conecta a la instancia ubicada en una subred pública a través de Internet (por ejemplo, su ordenador local).

      • Privado: te conectas a través de la dirección IP privada de la instancia.

    • SourceIpCIDR (opcional):

      El CIDR de origen que incluye la dirección IP del dispositivo (por ejemplo, su ordenador local) desde el que iniciará sesión mediante Amazon EC2 Instance Connect. Ejemplo: 172.31.48.6/32. Si no se proporciona ningún valor con el modo de acceso público o privado, el runbook no evaluará si el grupo de seguridad de la EC2 instancia de Amazon y las reglas de ACL de la red permiten el tráfico SSH. En su lugar, mostrará las reglas relacionadas con SSH.

    Input parameters form for EC2 Instance Connect troubleshooting with various fields.

  4. Seleccione Ejecutar.

  5. Se inicia la automatización.

  6. Este documento realiza los siguientes pasos:

    • AssertInitialState:

      Garantiza que el estado de la EC2 instancia de Amazon se esté ejecutando. De lo contrario, la automatización finaliza.

    • GetInstanceProperties:

      Obtiene las propiedades actuales de la EC2 instancia de Amazon (PlatformDetails PublicIpAddress VpcId,, SubnetId y MetadataHttpEndpoint).

    • GatherInstanceInformationFromSSM:

      Obtiene el estado de ping de la instancia de Systems Manager y los detalles del sistema operativo si la instancia está gestionada por SSM.

    • CheckIfAWSRegionCompatible:

      Comprueba si la EC2 instancia de Amazon se encuentra en una AWS región compatible con Amazon EC2 Instance Connect.

    • BranchOnIfAWSRegionCompatible:

      Continúa la ejecución si Amazon EC2 Instance Connect admite la AWS región. De lo contrario, crea la salida y sale de la automatización.

    • CheckIfInstanceAMIIsCompatible:

      Comprueba si la AMI asociada a la instancia es compatible con Amazon EC2 Instance Connect.

    • BranchOnIfInstanceAMIIsCompatible:

      Si la AMI de la instancia es compatible, realiza las comprobaciones a nivel del sistema operativo, como la accesibilidad de los metadatos y la instalación y configuración del paquete Amazon Instance EC2 Connect. De lo contrario, comprueba si los metadatos HTTP están habilitados mediante la AWS API y, a continuación, pasa al paso de comprobación de la red.

    • Comprobar IMDSReachabilityFromOs:

      Ejecuta un script Bash en la instancia de Amazon EC2 Linux de destino para comprobar si es capaz de acceder a. IMDSv2

    • Compruebe la EICPackage instalación:

      Ejecuta un script Bash en la instancia de Amazon EC2 Linux de destino para comprobar si el paquete Amazon EC2 Instance Connect está correctamente instalado y configurado.

    • Compruebe SSHConfigFromOs:

      Ejecuta un script Bash en la instancia de Amazon EC2 Linux de destino para comprobar si el puerto SSH configurado coincide con el parámetro de entrada `. SSHPort `

    • CheckMetadataHTTPEndpointIsEnabled:

      Comprueba si el punto final HTTP del servicio de metadatos de la instancia está activado.

    • Comprueba el EICNetwork acceso:

      Comprueba si la configuración de la red (grupos de seguridad, ACL de red y reglas de la tabla de enrutamiento) permite la conexión a la instancia a través de Amazon EC2 Instance Connect.

    • Compruebe IAMRoleOrUserPermissions:

      Comprueba si el rol o usuario de IAM utilizado para aprovechar Amazon EC2 Instance Connect tiene acceso a las teclas push de la EC2 instancia de Amazon con el nombre de usuario proporcionado.

    • MakeFinalOutput:

      Consolida el resultado de todos los pasos anteriores.

  7. Una vez finalizado, revise la sección de resultados para ver los resultados detallados de la ejecución:

    Ejecución en la que la instancia de destino cumple todos los requisitos previos necesarios:

    EC2 Instance Connect prerequisites check results showing successful validations for various configurations.

    Ejecución en la que no se admite la AMI de la instancia de destino:

    Error message indicating EC2 Instance Connect does not support the specified AMI version.

Referencias

Automatización de Systems Manager

AWS documentación de servicio