• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la [documentation Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Exécutez l'outil EC2 Rescue sur des instances inaccessibles
<a name="automation-ec2rescue"></a>

EC2Rescue peut vous aider à diagnostiquer et à résoudre les problèmes qui peuvent survenir sur les instances Amazon Elastic Compute Cloud (Amazon EC2) pour Linux et Windows Server. Vous pouvez exécuter l'outil manuellement, comme décrit dans les sections [Utilisation de EC2 Rescue pour Linux Server](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Linux-Server-EC2Rescue.html) et [Utilisation de EC2 Rescue pour Windows Server](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Windows-Server-EC2Rescue.html). Vous pouvez aussi exécuter l'outil automatiquement en utilisant Systems Manager Automation et le runbook **`AWSSupport-ExecuteEC2Rescue`**. Automation est un outil d’ AWS Systems Manager. Le **`AWSSupport-ExecuteEC2Rescue`**runbook est conçu pour exécuter une combinaison d'actions de Systems Manager, CloudFormation d'actions et de fonctions Lambda qui automatisent les étapes normalement requises pour EC2 utiliser Rescue. 

Vous pouvez utiliser le runbook **`AWSSupport-ExecuteEC2Rescue`** pour dépanner et potentiellement corriger différents types de problèmes liés aux systèmes d'exploitation (SE). Les instances avec des volumes racines chiffrés ne sont pas prises en charge. Pour obtenir une liste complète, consultez les rubriques suivantes :

**Windows** : voir *Action de sauvetage* dans [Utilisation de EC2 Rescue pour Windows Server avec la ligne de commande](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2rw-cli.html#ec2rw-rescue).

**Linux** et **macOS**: certains modules EC2 Rescue for Linux détectent les problèmes et tentent de les résoudre. Pour de plus amples informations, consultez la documentation [https://github.com/awslabs/aws-ec2rescue-linux/tree/master/docs](https://github.com/awslabs/aws-ec2rescue-linux/tree/master/docs) pour chaque module sur GitHub.

## Comment ça marche
<a name="automation-ec2rescue-how"></a>

Le dépannage d'une instance avec Automation et le runbook **`AWSSupport-ExecuteEC2Rescue`** fonctionne le la façon suivante :
+ Vous spécifiez l'ID de l'instance inaccessible et lancez le runbook.
+ Le système crée un VPC temporaire, puis exécute une série de fonctions Lambda pour configurer le VPC.
+ Le système identifie un sous-réseau pour votre VPC temporaire dans la même zone de disponibilité que votre instance d'origine.
+ Le système lance une instance d'assistant SSM temporaire.
+ Le système arrête l'instance originale et crée une sauvegarde. Ensuite, il rattache le volume racine original à l'instance d'assistant.
+ Le système exécute Run Command EC2 Rescue sur l'instance d'assistance. EC2Rescue identifie et tente de résoudre les problèmes sur le volume racine d'origine connecté. Lorsque vous avez terminé, EC2 Rescue rattache le volume racine à l'instance d'origine.
+ Le système redémarre votre instance originale et met fin à l'instance temporaire. Le système met également fin au VPC temporaire et aux fonctions Lambda créés au début de l'automatisation.

## Avant de commencer
<a name="automation-ec2rescue-begin"></a>

Avant d'exécuter l'automatisation suivante, veillez à exécuter les actions suivantes :
+ Copiez l'ID de l'instance de l'instance inaccessible. Vous spécifierez cet ID au cours de la procédure.
+ Vous pouvez également recueillir l'ID d'un sous-réseau dans la même zone de disponibilité que votre instance inaccessible. L'instance EC2 Rescue sera créée dans ce sous-réseau. Si vous ne spécifiez aucun sous-réseau, Automation crée un nouveau VPC temporaire dans votre. Compte AWS Vérifiez que vous Compte AWS disposez d'au moins un VPC. Par défaut, vous pouvez en créer cinq VPCs dans une région. Si vous en avez déjà créé cinq VPCs dans la région, l'automatisation échoue sans apporter de modifications à votre instance. Pour de plus amples informations sur les quotas Amazon VPC, consultez [VPC et sous-réseaux](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-vpcs-subnets) dans le *Guide de l'utilisateur Amazon VPC*.
+ Vous pouvez éventuellement créer et spécifier un rôle Gestion des identités et des accès AWS (IAM) pour Automation. Si vous ne spécifiez pas ce rôle, Automation s'exécute dans le contexte de l'utilisateur qui a exécuté l'automatisation.

### Attribution d'autorisations `AWSSupport-EC2Rescue` pour exécuter des actions sur vos instances
<a name="automation-ec2rescue-access"></a>

EC2Rescue a besoin d'une autorisation pour effectuer une série d'actions sur vos instances pendant l'automatisation. Ces actions font appel aux AWS Lambda services IAM et Amazon EC2 pour tenter de résoudre en toute sécurité les problèmes liés à vos instances. Si vous disposez d'autorisations de niveau administrateur dans votre VPC et/ou Compte AWS votre VPC, vous pourrez peut-être exécuter l'automatisation sans configurer les autorisations, comme décrit dans cette section. Si vous ne possédez pas les autorisations niveau administrateur, donc vous, ou un administrateur, devez configurer les autorisations en utilisant l'une des options suivantes.
+ [Attribution des autorisations en utilisant les politiques IAM](#automation-ec2rescue-access-iam)
+ [Octroi d'autorisations à l'aide d'un CloudFormation modèle](#automation-ec2rescue-access-cfn)

#### Attribution des autorisations en utilisant les politiques IAM
<a name="automation-ec2rescue-access-iam"></a>

Vous pouvez attacher la politique IAM suivante à votre utilisateur, groupe ou rôle IAM en tant que politique en ligne, ou vous pouvez créer une nouvelle politique IAM gérée et la relier à votre utilisateur, groupe ou rôle. Pour plus d'informations au sujet de l'ajout d'une politique en ligne à votre compte utilisateur, groupe ou rôle, consultez la page [Utilisation de politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_inline-using.html). Pour plus d'informations sur la création d'une nouvelle politique gérée, consultez la page [Utilisation de politiques gérées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html).

**Note**  
Si vous créez une nouvelle politique gérée par IAM, vous devez également y associer la politique gérée **Amazon SSMAutomation** Role afin que vos instances puissent communiquer avec l'API Systems Manager.

**Politique IAM pour 2Rescue AWSSupport-EC**

Remplacez *account ID* par vos propres informations.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "lambda:InvokeFunction",
                "lambda:DeleteFunction",
                "lambda:GetFunction"
            ],
            "Resource": "arn:aws:lambda:*:111122223333:function:AWSSupport-EC2Rescue-*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::awssupport-ssm.*/*.template",
                "arn:aws:s3:::awssupport-ssm.*/*.zip"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "iam:CreateRole",
                "iam:CreateInstanceProfile",
                "iam:GetRole",
                "iam:GetInstanceProfile",
                "iam:PutRolePolicy",
                "iam:DetachRolePolicy",
                "iam:AttachRolePolicy",
                "iam:PassRole",
                "iam:AddRoleToInstanceProfile",
                "iam:RemoveRoleFromInstanceProfile",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DeleteInstanceProfile"
            ],
            "Resource": [
                "arn:aws:iam::111122223333:role/AWSSupport-EC2Rescue-*",
                "arn:aws:iam::111122223333:instance-profile/AWSSupport-EC2Rescue-*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "lambda:CreateFunction",
                "ec2:CreateVpc",
                "ec2:ModifyVpcAttribute",
                "ec2:DeleteVpc",
                "ec2:CreateInternetGateway",
                "ec2:AttachInternetGateway",
                "ec2:DetachInternetGateway",
                "ec2:DeleteInternetGateway",
                "ec2:CreateSubnet",
                "ec2:DeleteSubnet",
                "ec2:CreateRoute",
                "ec2:DeleteRoute",
                "ec2:CreateRouteTable",
                "ec2:AssociateRouteTable",
                "ec2:DisassociateRouteTable",
                "ec2:DeleteRouteTable",
                "ec2:CreateVpcEndpoint",
                "ec2:DeleteVpcEndpoints",
                "ec2:ModifyVpcEndpoint",
                "ec2:Describe*",
                "autoscaling:DescribeAutoScalingInstances"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}
```

------

#### Octroi d'autorisations à l'aide d'un CloudFormation modèle
<a name="automation-ec2rescue-access-cfn"></a>

CloudFormation automatise le processus de création de rôles et de politiques IAM à l'aide d'un modèle préconfiguré. Utilisez la procédure suivante pour créer les rôles et politiques IAM requis pour EC2 Rescue Automation à l'aide CloudFormation de.

**Pour créer les rôles et politiques IAM requis pour Rescue EC2**

1. Téléchargez [https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/AWSSupport-EC2RescueRole.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/AWSSupport-EC2RescueRole.zip) et extrayez le fichier `AWSSupport-EC2RescueRole.json` pour l'enregistrer dans un répertoire de votre machine locale.

1. Si vous Compte AWS vous trouvez dans une partition spéciale, modifiez le modèle pour remplacer les valeurs de l'ARN par celles de votre partition.

   Par exemple, pour les régions de Chine, remplacez toutes les occurrences de `arn:aws` par `arn:aws-cn`.

1. Connectez-vous à la CloudFormation console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)

1. Sélectionnez **Créer une pile**, **Avec de nouvelles ressources (standard)**.

1. Sur la page **Créer une pile**, pour **Prérequis - Préparer le modèle**, sélectionnez **Le modèle est prêt**.

1. Dans **Spécifier le modèle**, sélectionnez **Charger un modèle de fichier**.

1. Sélectionnez **Choisir le fichier**, puis recherchez et sélectionnez le fichier `AWSSupport-EC2RescueRole.json` dans le répertoire où vous l'avez extrait.

1. Sélectionnez **Suivant**.

1. Dans la page **Spécifier les détails de la pile**, pour le champ **Nom de la pile**, entrez un nom pour identifier cette pile, puis sélectionnez **Suivant**.

1. (Facultatif) Dans la zone **Balises**, appliquez une ou plusieurs name/value paires de clés de balise à la pile.

   Les balises sont des métadonnées facultatives que vous affectez à une ressource. Les balises vous permettent de classer une ressource de différentes façons, par exemple, par objectif, par propriétaire ou par environnement. Par exemple, vous pouvez baliser une pile pour identifier le type de tâches qu'elle exécute, les types de cibles ou d'autres ressources concernées, et l'environnement dans lequel elle est exécutée.

1. Choisissez **Next** (Suivant)

1. Sur la page de **révision**, passez en revue les détails de la pile, puis faites défiler la page vers le bas et choisissez l'option **Je reconnais que cela CloudFormation pourrait créer des ressources IAM**.

1. Sélectionnez **Créer la pile**.

   CloudFormation affiche l'état de **CREATE\$1IN\$1PROGRESS** pendant quelques minutes. Le statut passe à **CREATE\$1COMPLETE** après la création de la pile. Vous pouvez également choisir l'icône d'actualisation pour vérifier le statut du processus de création.

1. Dans la liste **Piles**, sélectionnez l'option à côté de la pile que vous venez de créer, puis sélectionnez l'onglet **Sorties**.

1. Notez la **Valeur**. Il s'agit de l'ARN du AssumeRole. Vous spécifiez cet ARN lorsque vous exécutez l'automatisation lors de la procédure suivante, [Exécution d'Automation](#automation-ec2rescue-executing). 

## Exécution d'Automation
<a name="automation-ec2rescue-executing"></a>

**Important**  
L'automatisation suivante arrête l'instance inaccessible. L'arrêt de l'instance peut entraîner la perte de données sur des volumes de stockage d'instance attachés (le cas échéant). L'arrêt de l'instance peut aussi causer le changement de l'adresse IP publique, si aucune adresse IP Elastic n'est associée.

**Pour exécuter l'automatisation `AWSSupport-ExecuteEC2Rescue`**

1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Dans le panneau de navigation de gauche, sélectionnez **Automation** (Automatisation).

1. Sélectionnez **Execute automation (Exécuter l'automatisation)**.

1. Dans la section **Document d'automatisation**, sélectionnez **M'appartenant ou appartenant à Amazon** dans la liste.

1. Dans la liste des runbooks, sélectionnez le bouton de la carte pour `AWSSupport-ExecuteEC2Rescue`, puis sélectionnez **Next (Suivant)**.

1. Sur la page **Exécuter le document d'automatisation**, sélectionnez **Exécution simple**.

1. Dans la section **Détails du document**, vérifiez que l'option **Version du document** est définie sur la version par défaut la plus importante. Par exemple, **\$1DEFAULT** ou **3 (par défaut)**.

1. Dans la section **Paramètres d'entrée**, spécifiez les paramètres suivants : 

   1. Pour **UnreachableInstanceId**, spécifiez l'ID de l'instance inaccessible. 

   1. (Facultatif) Pour **EC2RescueInstanceType**, spécifiez un type d'instance pour l'instance EC2 Rescue. Le type d'instance par défaut est `t2.medium`.

   1. En **AutomationAssumeRole**effet, si vous avez créé des rôles pour cette automatisation en utilisant la CloudFormation procédure décrite précédemment dans cette rubrique, choisissez l'ARN du rôle AssumeRole que vous avez créé dans la CloudFormation console.

   1. (Facultatif) Pour **LogDestination**, spécifiez un compartiment S3 si vous souhaitez collecter des journaux au niveau du système d'exploitation lors du dépannage de votre instance. Les journaux sont chargés automatiquement dans le compartiment spécifié.

   1. Pour **SubnetId**, spécifiez un sous-réseau dans un VPC existant dans la même zone de disponibilité que l'instance inaccessible. Par défaut, Systems Manager crée un VPC, mais vous pouvez spécifier un sous-réseau dans un VPC existant si vous le souhaitez.
**Note**  
Si vous ne voyez pas l'option permettant de spécifier un compartiment ou un ID de sous-réseau, vérifiez que vous utilisez la version **Default (Par défaut)** la plus récente du runbook.

1. (Facultatif) Dans la zone **Balises**, appliquez une ou plusieurs name/value paires de clés de balise pour identifier l'automatisation, par exemple`Key=Purpose,Value=EC2Rescue`.

1. Sélectionnez **Execute (Exécuter)**.

Le runbook crée une AMI de sauvegarde dans le cadre de l'automatisation. Toutes les autres ressources créées par l'automatisation sont automatiquement supprimées, mais cette AMI reste dans votre compte. L'AMI est nommée selon la convention suivante :

AMI de sauvegarde : AWSSupport-EC 2Rescue : *UnreachableInstanceId*

Vous pouvez localiser cette AMI dans la console Amazon EC2 en recherchant l'ID d'exécution d'Automation.