• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat [dokumentasi CloudWatch Dasbor Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menggunakan AWS Dukungan runbook swalayan
Bagian ini menjelaskan cara menggunakan beberapa otomatisasi swalayan yang dibuat oleh tim. AWS Dukungan Otomatisasi ini membantu Anda mengelola AWS sumber daya Anda.
**Support Alur kerja Otomatisasi**
Support Automation Workflows (SAW) adalah runbook otomatisasi yang ditulis dan dikelola oleh tim. AWS Dukungan Runbook ini membantu Anda memecahkan masalah umum dengan AWS sumber daya Anda, secara proaktif memantau dan mengidentifikasi masalah jaringan, mengumpulkan dan menganalisis log, dan banyak lagi.
Runbook SAW menggunakan **`AWSSupport`**awalan. Misalnya, [https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-activatewindowswithamazonlicense.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-activatewindowswithamazonlicense.html).
Selain itu, pelanggan dengan Business Support\$1 dan paket AWS Support yang lebih tinggi juga memiliki akses ke runbook yang menggunakan awalan. **`AWSPremiumSupport`** Misalnya, [https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awspremiumsupport-troubleshootEC2diskusage.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awspremiumsupport-troubleshootEC2diskusage.html).
Untuk mempelajari lebih lanjut AWS Dukungan, lihat [Memulai dengan AWS Dukungan](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html).
**Topics**
+ [Jalankan alat EC2 Penyelamatan pada instance yang tidak dapat dijangkau](automation-ec2rescue.md)
+ [Reset password dan kunci SSH pada Instans EC2](automation-ec2reset.md)
# Jalankan alat EC2 Penyelamatan pada instance yang tidak dapat dijangkau
EC2Rescue dapat membantu Anda mendiagnosis dan memecahkan masalah di instans Amazon Elastic Compute Cloud (Amazon EC2) untuk Linux dan Windows Server. Anda dapat menjalankan alat secara manual, seperti yang dijelaskan dalam [Menggunakan EC2 Penyelamatan untuk Server Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Linux-Server-EC2Rescue.html) dan [Menggunakan EC2 Penyelamatan untuk Windows Server](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Windows-Server-EC2Rescue.html). Atau, Anda dapat menjalankan alat secara otomatis dengan menggunakan Systems Manager Automation dan **`AWSSupport-ExecuteEC2Rescue`**runbook. Otomasi adalah alat dalam AWS Systems Manager. **`AWSSupport-ExecuteEC2Rescue`**Runbook dirancang untuk melakukan kombinasi tindakan, CloudFormation tindakan, dan fungsi Lambda Systems Manager yang mengotomatiskan langkah-langkah yang biasanya diperlukan untuk menggunakan Rescue. EC2
Anda dapat menggunakan **`AWSSupport-ExecuteEC2Rescue`**runbook untuk memecahkan masalah dan berpotensi memulihkan berbagai jenis masalah sistem operasi (OS). Instans dengan volume root terenkripsi tidak didukung. Lihat topik berikut untuk daftar lengkap:
**Windows**: Lihat *Tindakan Penyelamatan* dalam [Menggunakan EC2 Penyelamatan untuk Windows Server dengan Baris Perintah](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2rw-cli.html#ec2rw-rescue).
**Linux** dan **macOS**: Beberapa modul EC2 Rescue for Linux mendeteksi dan mencoba memperbaiki masalah. Untuk informasi selengkapnya, lihat [https://github.com/awslabs/aws-ec2rescue-linux/tree/master/docs](https://github.com/awslabs/aws-ec2rescue-linux/tree/master/docs)dokumentasi untuk setiap modul diGitHub.
## Cara kerjanya
Pemecahan masalah instans dengan otomatisasi dan **`AWSSupport-ExecuteEC2Rescue`** runbook bekerja sebagai berikut:
+ Anda menentukan ID instans yang tidak dapat dijangkau dan memulai runbook.
+ Sistem menciptakan VPC sementara, dan kemudian menjalankan serangkaian fungsi Lambda untuk mengonfigurasi VPC.
+ Sistem mengidentifikasi subnet untuk VPC sementara Anda di Availability Zone yang sama dengan instans asli Anda.
+ Sistem meluncurkan instans pembantu berkemampuan SSM sementara.
+ Sistem mengentikan instans asli Anda, dan membuat cadangan. Selanjutanya, sistem akan melampirkan volume akar asli untuk instans pembantu.
+ Sistem ini menggunakan Run Command untuk menjalankan EC2 Rescue pada instance helper. EC2Rescue mengidentifikasi dan mencoba memperbaiki masalah pada volume root asli yang terlampir. Setelah selesai, EC2 Rescue memasang kembali volume root ke instance aslinya.
+ Sistem memulai ulang instans asli Anda, dan mengakhiri instans sementara. Sistem ini juga menghentikan VPC sementara dan fungsi Lambda yang dibuat pada permulaan otomatisasi.
## Sebelum Anda memulai
Sebelum Anda menjalankan otomatisasi berikut, lakukan solusi berikut:
+ Salin ID instans dari instans yang tidak terjangkau. Anda akan menentukan ID ini dalam prosedur.
+ Opsional, kumpulkan ID subnet di zona ketersediaan yang sama sebagai instans yang dapat dijangkau. Instance EC2 Rescue akan dibuat di subnet ini. Jika Anda tidak menentukan subnet, maka Automation membuat VPC sementara baru di Anda. Akun AWS Verifikasi bahwa Anda Akun AWS memiliki setidaknya satu VPC yang tersedia. Secara default, Anda dapat membuat lima VPCs di Wilayah. Jika Anda sudah membuat lima VPCs di Wilayah, otomatisasi gagal tanpa membuat perubahan pada instans Anda. Untuk informasi selengkapnya tentang kuota Amazon VPC, lihat [VPC dan Subnet](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-vpcs-subnets) di *Panduan Pengguna Amazon VPC*.
+ Secara opsional, Anda dapat membuat dan menentukan peran AWS Identity and Access Management (IAM) untuk Otomasi. Jika Anda tidak menentukan peran ini, Otomatisasi beroperasi dalam konteks pengguna yang dipanggil otomatisasi.
### Memberikan `AWSSupport-EC2Rescue` izin untuk melakukan tindakan pada instans Anda
EC2Penyelamatan memerlukan izin untuk melakukan serangkaian tindakan pada instans Anda selama otomatisasi. Tindakan ini meminta layanan AWS Lambda, IAM, dan Amazon EC2 untuk mencoba memperbaiki masalah dengan instans Anda dengan aman dan aman. Jika Anda memiliki izin tingkat Administrator di dan/atau Akun AWS VPC, Anda mungkin dapat menjalankan otomatisasi tanpa mengonfigurasi izin, seperti yang dijelaskan di bagian ini. Jika Anda tidak memiliki izin tingkat administrator, maka Anda atau administrator harus mengonfigurasi izin dengan menggunakan salah satu opsi berikut.
+ [Memberikan izin menggunakan kebijakan IAM](#automation-ec2rescue-access-iam)
+ [Memberikan izin dengan menggunakan template CloudFormation](#automation-ec2rescue-access-cfn)
#### Memberikan izin menggunakan kebijakan IAM
Anda dapat melampirkan kebijakan IAM berikut ke pengguna, grup, atau peran Anda sebagai kebijakan inline; atau, Anda dapat membuat kebijakan terkelola IAM baru dan melampirkannya ke pengguna, grup, atau peran Anda. Untuk informasi selengkapnya tentang menambahkan kebijakan sebaris ke pengguna, grup, atau peran Anda, lihat [Bekerja Dengan Kebijakan Sebaris](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_inline-using.html). Untuk informasi lebih lanjut tentang membuat kebijakan terkelola baru, lihat [Bekerja Dengan Kebijakan Terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html).
**catatan**
Jika Anda membuat kebijakan terkelola IAM baru, Anda juga harus melampirkan kebijakan terkelola **SSMAutomationPeran Amazon** agar instans Anda dapat berkomunikasi dengan Systems Manager API.
**Kebijakan IAM untuk AWSSupport-EC 2Rescue**
Ganti *account ID* dengan informasi Anda sendiri.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"lambda:InvokeFunction",
"lambda:DeleteFunction",
"lambda:GetFunction"
],
"Resource": "arn:aws:lambda:*:111122223333:function:AWSSupport-EC2Rescue-*",
"Effect": "Allow"
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::awssupport-ssm.*/*.template",
"arn:aws:s3:::awssupport-ssm.*/*.zip"
],
"Effect": "Allow"
},
{
"Action": [
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:GetRole",
"iam:GetInstanceProfile",
"iam:PutRolePolicy",
"iam:DetachRolePolicy",
"iam:AttachRolePolicy",
"iam:PassRole",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DeleteInstanceProfile"
],
"Resource": [
"arn:aws:iam::111122223333:role/AWSSupport-EC2Rescue-*",
"arn:aws:iam::111122223333:instance-profile/AWSSupport-EC2Rescue-*"
],
"Effect": "Allow"
},
{
"Action": [
"lambda:CreateFunction",
"ec2:CreateVpc",
"ec2:ModifyVpcAttribute",
"ec2:DeleteVpc",
"ec2:CreateInternetGateway",
"ec2:AttachInternetGateway",
"ec2:DetachInternetGateway",
"ec2:DeleteInternetGateway",
"ec2:CreateSubnet",
"ec2:DeleteSubnet",
"ec2:CreateRoute",
"ec2:DeleteRoute",
"ec2:CreateRouteTable",
"ec2:AssociateRouteTable",
"ec2:DisassociateRouteTable",
"ec2:DeleteRouteTable",
"ec2:CreateVpcEndpoint",
"ec2:DeleteVpcEndpoints",
"ec2:ModifyVpcEndpoint",
"ec2:Describe*",
"autoscaling:DescribeAutoScalingInstances"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
#### Memberikan izin dengan menggunakan template CloudFormation
CloudFormation mengotomatiskan proses pembuatan peran dan kebijakan IAM dengan menggunakan templat yang telah dikonfigurasi sebelumnya. Gunakan prosedur berikut untuk membuat peran dan kebijakan IAM yang diperlukan untuk Otomasi EC2 Penyelamatan dengan menggunakan CloudFormation.
**Untuk membuat peran dan kebijakan IAM yang diperlukan untuk Penyelamatan EC2**
1. Unduh [https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/AWSSupport-EC2RescueRole.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/AWSSupport-EC2RescueRole.zip) dan ekstrak `AWSSupport-EC2RescueRole.json` file ke direktori pada mesin lokal Anda.
1. Jika Anda Akun AWS berada di partisi khusus, edit template untuk mengubah nilai ARN ke yang untuk partisi Anda.
Misalnya, untuk Wilayah Cina, ubah semua kasus `arn:aws` ke `arn:aws-cn`.
1. Masuk ke Konsol Manajemen AWS dan buka CloudFormation konsol di [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Pilih **Buat tumpukan**, **Dengan sumber daya baru (standar)**.
1. Pada halaman **Buat tumpukan**, untuk **Prasyarat - Siapkan templat**, pilih **Templat sudah siap**.
1. Untuk **Tentukan templat**, pilih **Unggah file templat**.
1. Pilih **Pilih file**, lalu telusuri ke dan pilih `AWSSupport-EC2RescueRole.json` file dari direktori tempat Anda mengekstraknya.
1. Pilih **Berikutnya**.
1. Pada halaman **Tentukan detail tumpukan**, untuk bidang **Nama tumpukan**, masukkan nama untuk mengidentifikasi tumpukan ini, dan kemudian pilih **Berikutnya**.
1. (Opsional) Di area **Tag**, terapkan satu atau beberapa name/value pasangan kunci tag ke tumpukan.
Tag adalah metadata opsional yang Anda tetapkan ke sumber daya. Tanda memungkinkan Anda untuk mengategorikan sumber daya dengan berbagai cara, seperti berdasarkan tujuan, pemilik, atau lingkungan. Misalnya, Anda mungkin ingin menandai tumpukan untuk mengidentifikasi jenis tugas yang dijalankannya, jenis target atau sumber daya lainnya, dan lingkungan tempat ia dijalankan.
1. Pilih **Berikutnya**
1. Pada halaman **Ulasan**, tinjau detail tumpukan, lalu gulir ke bawah dan pilih opsi **Saya akui yang CloudFormation mungkin membuat sumber daya IAM**.
1. Pilih **Buat tumpukan**.
CloudFormation menunjukkan status **CREATE\$1IN\$1PROGRESS selama beberapa menit**. Status berubah menjadi **CREATE\$1COMPLETE** setelah tumpukan dibuat. Anda juga dapat memilih ikon refresh untuk memeriksa status proses pembuatan.
1. Di daftar **Tumpukan**, pilih tombol pilihan tumpukan yang baru saja Anda buat, dan kemudian pilih kotak tab **Output**.
1. Catat **Nilai**. Itu adalah ARN dari. AssumeRole Anda menentukan ARN ini ketika menjalankan otomatisasi dalam prosedur berikutnya, [Menjalankan Otomatisasi](#automation-ec2rescue-executing).
## Menjalankan Otomatisasi
**penting**
Otomatisasi berikut menghentikan instans yang tidak dapat dijangkau. Menghentikan contoh dapat mengakibatkan hilangnya data pada volume penyimpanan instans terlampir (jika ada). Menghentikan instans juga dapat menyebabkan IP publik berubah, jika tidak ada Elastic IP terkait.
**Untuk menjalankan `AWSSupport-ExecuteEC2Rescue` Otomatisasi**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pada panel navigasi, pilih **Otomatisasi**.
1. Pilih **Eksekusi otomatisasi**.
1. Di bagian **Dokumen otomatisasi**, pilih **Dimiliki oleh Amazon** dari daftar.
1. Dalam daftar runbook, pilih tombol di kartu untuk `AWSSupport-ExecuteEC2Rescue`, lalu pilih **Berikutnya**.
1. Pada halaman **Eksekusi dokumen otomatisasi,** pilih **Eksekusi sederhana**.
1. Di bagian **Detail dokumen** verifikasi bahwa **Versi dokumen diatur** ke versi default tertinggi. Misalnya, **\$1DEFAULT** atau **3 (default)**.
1. Di bagian **Parameter input**, tentukan parameter berikut:
1. Untuk **UnreachableInstanceId**, tentukan ID dari instance yang tidak dapat dijangkau.
1. (Opsional) Untuk **EC2RescueInstanceType**, tentukan jenis instance untuk instance EC2 Rescue. Nilai instans default adalah `t2.medium`.
1. Untuk **AutomationAssumeRole**, jika Anda membuat peran untuk Otomasi ini dengan menggunakan CloudFormation prosedur yang dijelaskan sebelumnya dalam topik ini, lalu pilih ARN dari AssumeRole yang Anda buat di CloudFormation konsol.
1. (Opsional) Untuk **LogDestination**, tentukan bucket S3 jika Anda ingin mengumpulkan log tingkat sistem operasi saat memecahkan masalah instance Anda. Log secara otomatis diunggah ke bucket yang ditentukan.
1. Untuk **SubnetId**, tentukan subnet di VPC yang ada di zona ketersediaan yang sama dengan instance yang tidak dapat dijangkau. Secara default, Systems Manager menciptakan VPC baru, tetapi Anda dapat menentukan subnet di VPC yang ada jika Anda ingin.
**catatan**
Jika Anda tidak melihat opsi untuk menentukan bucket atau ID subnet, verifikasi bahwa Anda menggunakan versi **Default** terbaru dari runbook.
1. (Opsional) Di area **Tag**, terapkan satu atau beberapa name/value pasangan kunci tag untuk membantu mengidentifikasi otomatisasi, misalnya`Key=Purpose,Value=EC2Rescue`.
1. Pilih **Eksekusi**.
Runbook membuat cadangan AMI sebagai bagian dari otomatisasi. Semua sumber daya lain yang dibuat oleh otomatisasi dihapus secara otomatis, tetapi AMI ini tetap ada di akun Anda. AMI Dinamai menggunakan konvensi berikut:
Backup AMI: AWSSupport-EC 2Rescue: *UnreachableInstanceId*
Anda dapat menemukan ini AMI di konsol Amazon EC2 dengan mencari ID eksekusi Otomatisasi.
# Reset password dan kunci SSH pada Instans EC2
Anda dapat menggunakan `AWSSupport-ResetAccess` runbook untuk mengaktifkan kembali pembuatan kata sandi Administrator lokal secara otomatis di instans Amazon Elastic Compute Cloud (Amazon EC2) Windows Server untuk dan untuk menghasilkan kunci SSH baru pada instans EC2 untuk Linux. `AWSSupport-ResetAccess`Runbook dirancang untuk melakukan kombinasi AWS Systems Manager tindakan, AWS CloudFormation tindakan, dan AWS Lambda fungsi yang mengotomatiskan langkah-langkah yang biasanya diperlukan untuk mengatur ulang kata sandi administrator lokal.
Anda dapat menggunakan Otomasi, alat di AWS Systems Manager, dengan `AWSSupport-ResetAccess` runbook untuk memecahkan masalah berikut:
**Windows**
*Anda kehilangan key pair EC2*: Untuk mengatasi masalah ini, Anda dapat menggunakan **AWSSupport-ResetAccess**runbook untuk membuat sandi yang diaktifkan AMI dari instans Anda saat ini, meluncurkan instance baru dari AMI, dan memilih key pair yang Anda miliki.
*Anda kehilangan kata sandi Administrator lokal*: Untuk mengatasi masalah ini, Anda dapat menggunakan `AWSSupport-ResetAccess` runbook untuk menghasilkan kata sandi baru yang dapat Anda dekripsi dengan pasangan kunci EC2 saat ini.
**Linux**
*Anda kehilangan key pair EC2 Anda, atau Anda mengonfigurasi akses SSH ke instance dengan kunci yang hilang*: Untuk mengatasi masalah ini, Anda dapat menggunakan `AWSSupport-ResetAccess` runbook untuk membuat kunci SSH baru untuk instans Anda saat ini, yang memungkinkan Anda untuk terhubung ke instance lagi.
**catatan**
Jika instans EC2 Anda Windows Server dikonfigurasi untuk Systems Manager, Anda juga dapat mengatur ulang kata sandi Administrator lokal Anda dengan menggunakan EC2 Rescue dan AWS Systems Manager Run Command. Untuk informasi selengkapnya, lihat [Menggunakan EC2 Rescue untuk Windows Server dengan Systems Manager Run Command](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2rw-ssm.html) di *Panduan Pengguna Amazon EC2*.
**Informasi terkait**
[Connect ke instans Linux Anda dari Windows menggunakan PuTTY](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html) di Panduan Pengguna *Amazon EC2*
## Cara kerjanya
Pemecahan masalah instans dengan otomatisasi dan `AWSSupport-ResetAccess` runbook bekerja sebagai berikut:
+ Anda menentukan ID instans yang tidak dapat dijangkau dan menjalankan runbook.
+ Sistem menciptakan VPC sementara, dan kemudian menjalankan serangkaian fungsi Lambda untuk mengonfigurasi VPC.
+ Sistem mengidentifikasi subnet untuk VPC sementara Anda di Availability Zone yang sama dengan instans asli Anda.
+ Sistem meluncurkan instans pembantu berkemampuan SSM sementara.
+ Sistem mengentikan instans asli Anda, dan membuat cadangan. Selanjutanya, sistem akan melampirkan volume akar asli untuk instans pembantu.
+ Sistem ini menggunakan Run Command untuk menjalankan EC2 Rescue pada instance helper. Di Windows, EC2 Rescue memungkinkan pembuatan kata sandi untuk Administrator lokal dengan menggunakan EC2 Config atau EC2 Launch pada volume root asli yang terlampir. Di Linux, EC2 Rescue menghasilkan dan menyuntikkan kunci SSH baru dan menyimpan kunci privat, dienkripsi, di. Parameter Store Setelah selesai, EC2 Rescue memasang kembali volume root ke instance aslinya.
+ Sistem membuat Amazon Machine Image (AMI) baru dari instance Anda, sekarang pembuatan kata sandi diaktifkan. Anda dapat menggunakan ini AMI untuk membuat instans EC2 baru, dan mengasosiasikan pasangan kunci baru jika diperlukan.
+ Sistem memulai ulang instans asli Anda, dan mengakhiri instans sementara. Sistem ini juga menghentikan VPC sementara dan fungsi Lambda yang dibuat pada permulaan otomatisasi.
+ **Windows**: Instans Anda menghasilkan kata sandi baru yang kodenya dapat Anda pecahkan dari konsol Amazon EC2 menggunakan pasangan kunci saat ditugaskan untuk instans.
**Linux**: Anda dapat SSH ke instance dengan menggunakan kunci SSH yang disimpan di Systems Manager Parameter Store sebagai **/ec2rl/openssh/ *instance ID* /key**.
## Sebelum Anda mulai
Sebelum Anda menjalankan otomatisasi berikut, lakukan solusi berikut:
+ Salin ID instans tempat Anda ingin menyetel ulang kata sandi Administrator. Anda akan menentukan ID ini dalam prosedur.
+ Opsional, kumpulkan ID subnet di zona ketersediaan yang sama sebagai instans yang dapat dijangkau. Instance EC2 Rescue akan dibuat di subnet ini. Jika Anda tidak menentukan subnet, maka Automation membuat VPC sementara baru di Anda. Akun AWS Verifikasi bahwa Anda Akun AWS memiliki setidaknya satu VPC yang tersedia. Secara default, Anda dapat membuat lima VPCs di Wilayah. Jika Anda sudah membuat lima VPCs di Wilayah, otomatisasi gagal tanpa membuat perubahan pada instans Anda. Untuk informasi selengkapnya tentang kuota Amazon VPC, lihat [VPC dan Subnet](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-vpcs-subnets) di *Panduan Pengguna Amazon VPC*.
+ Secara opsional, Anda dapat membuat dan menentukan peran AWS Identity and Access Management (IAM) untuk Otomasi. Jika Anda tidak menentukan peran ini, Otomatisasi beroperasi dalam konteks pengguna yang dipanggil otomatisasi.
### Memberikan izin AWSSupport-EC 2Rescue untuk melakukan tindakan pada instans Anda
EC2Penyelamatan memerlukan izin untuk melakukan serangkaian tindakan pada instans Anda selama otomatisasi. Tindakan ini meminta layanan AWS Lambda, IAM, dan Amazon EC2 untuk mencoba memperbaiki masalah dengan instans Anda dengan aman dan aman. Jika Anda memiliki izin tingkat Administrator di dan/atau Akun AWS VPC, Anda mungkin dapat menjalankan otomatisasi tanpa mengonfigurasi izin, seperti yang dijelaskan di bagian ini. Jika Anda tidak memiliki izin tingkat administrator, maka Anda atau administrator harus mengonfigurasi izin dengan menggunakan salah satu opsi berikut.
+ [Memberikan izin menggunakan kebijakan IAM](#automation-ec2reset-access-iam)
+ [Memberikan izin dengan menggunakan template CloudFormation](#automation-ec2reset-access-cfn)
#### Memberikan izin menggunakan kebijakan IAM
Anda dapat melampirkan kebijakan IAM berikut ke pengguna, grup, atau peran Anda sebagai kebijakan inline; atau, Anda dapat membuat kebijakan terkelola IAM baru dan melampirkannya ke pengguna, grup, atau peran Anda. Untuk informasi selengkapnya tentang menambahkan kebijakan sebaris ke pengguna, grup, atau peran Anda, lihat [Bekerja Dengan Kebijakan Sebaris](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_inline-using.html). Untuk informasi lebih lanjut tentang membuat kebijakan terkelola baru, lihat [Bekerja Dengan Kebijakan Terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html).
**catatan**
Jika Anda membuat kebijakan terkelola IAM baru, Anda juga harus melampirkan kebijakan terkelola **SSMAutomationPeran Amazon** agar instans Anda dapat berkomunikasi dengan Systems Manager API.
**Kebijakan IAM untuk `AWSSupport-ResetAccess`**
Ganti *account ID* dengan informasi Anda sendiri.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"lambda:InvokeFunction",
"lambda:DeleteFunction",
"lambda:GetFunction"
],
"Resource": "arn:aws:lambda:*:111122223333:function:AWSSupport-EC2Rescue-*",
"Effect": "Allow"
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::awssupport-ssm.*/*.template",
"arn:aws:s3:::awssupport-ssm.*/*.zip"
],
"Effect": "Allow"
},
{
"Action": [
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:GetRole",
"iam:GetInstanceProfile",
"iam:PutRolePolicy",
"iam:DetachRolePolicy",
"iam:AttachRolePolicy",
"iam:PassRole",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DeleteInstanceProfile"
],
"Resource": [
"arn:aws:iam::111122223333:role/AWSSupport-EC2Rescue-*",
"arn:aws:iam::111122223333:instance-profile/AWSSupport-EC2Rescue-*"
],
"Effect": "Allow"
},
{
"Action": [
"lambda:CreateFunction",
"ec2:CreateVpc",
"ec2:ModifyVpcAttribute",
"ec2:DeleteVpc",
"ec2:CreateInternetGateway",
"ec2:AttachInternetGateway",
"ec2:DetachInternetGateway",
"ec2:DeleteInternetGateway",
"ec2:CreateSubnet",
"ec2:DeleteSubnet",
"ec2:CreateRoute",
"ec2:DeleteRoute",
"ec2:CreateRouteTable",
"ec2:AssociateRouteTable",
"ec2:DisassociateRouteTable",
"ec2:DeleteRouteTable",
"ec2:CreateVpcEndpoint",
"ec2:DeleteVpcEndpoints",
"ec2:ModifyVpcEndpoint",
"ec2:Describe*"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
#### Memberikan izin dengan menggunakan template CloudFormation
CloudFormation mengotomatiskan proses pembuatan peran dan kebijakan IAM dengan menggunakan templat yang telah dikonfigurasi sebelumnya. Gunakan prosedur berikut untuk membuat peran dan kebijakan IAM yang diperlukan untuk Otomasi EC2 Penyelamatan dengan menggunakan CloudFormation.
**Untuk membuat peran dan kebijakan IAM yang diperlukan untuk Penyelamatan EC2**
1. Unduh [https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/AWSSupport-EC2RescueRole.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/AWSSupport-EC2RescueRole.zip) dan ekstrak `AWSSupport-EC2RescueRole.json` file ke direktori pada mesin lokal Anda.
1. Jika Anda Akun AWS berada di partisi khusus, edit template untuk mengubah nilai ARN ke yang untuk partisi Anda.
Misalnya, untuk Wilayah Cina, ubah semua kasus `arn:aws` ke `arn:aws-cn`.
1. Masuk ke Konsol Manajemen AWS dan buka CloudFormation konsol di [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Pilih **Buat tumpukan**, **Dengan sumber daya baru (standar)**.
1. Pada halaman **Buat tumpukan**, untuk **Prasyarat - Siapkan templat**, pilih **Templat sudah siap**.
1. Untuk **Tentukan templat**, pilih **Unggah file templat**.
1. Pilih **Pilih file**, lalu telusuri ke dan pilih `AWSSupport-EC2RescueRole.json` file dari direktori tempat Anda mengekstraknya.
1. Pilih **Berikutnya**.
1. Pada halaman **Tentukan detail tumpukan**, untuk bidang **Nama tumpukan**, masukkan nama untuk mengidentifikasi tumpukan ini, dan kemudian pilih **Berikutnya**.
1. (Opsional) Di area **Tag**, terapkan satu atau beberapa name/value pasangan kunci tag ke tumpukan.
Tag adalah metadata opsional yang Anda tetapkan ke sumber daya. Tanda memungkinkan Anda untuk mengategorikan sumber daya dengan berbagai cara, seperti berdasarkan tujuan, pemilik, atau lingkungan. Misalnya, Anda mungkin ingin menandai tumpukan untuk mengidentifikasi jenis tugas yang dijalankannya, jenis target atau sumber daya lainnya, dan lingkungan tempat ia dijalankan.
1. Pilih **Berikutnya**
1. Pada halaman **Ulasan**, tinjau detail tumpukan, lalu gulir ke bawah dan pilih opsi **Saya akui yang CloudFormation mungkin membuat sumber daya IAM**.
1. CloudFormation menunjukkan status **CREATE\$1IN\$1PROGRESS selama beberapa menit**. Status berubah menjadi **CREATE\$1COMPLETE** setelah tumpukan dibuat. Anda juga dapat memilih ikon refresh untuk memeriksa status proses pembuatan.
1. Dalam daftar tumpukan, pilih opsi di samping tumpukan yang baru saja Anda buat, lalu pilih tab **Output**.
1. Salin **Nilai**. Itu adalah ARN dari. AssumeRole Anda akan menentukan ARN ini ketika menjalankan otomatisasi dalam prosedur berikutnya.
## Menjalankan Otomatisasi
Prosedur berikut menjelaskan cara menjalankan `AWSSupport-ResetAccess` runbook dengan menggunakan AWS Systems Manager konsol.
**penting**
Otomatisasi berikut menghentikan instans. Menghentikan contoh dapat mengakibatkan hilangnya data pada volume penyimpanan instans terlampir (jika ada). Menghentikan instans juga dapat menyebabkan IP publik berubah, jika tidak ada Elastic IP terkait. Untuk menghindari perubahan konfigurasi ini, gunakan Run Command untuk mengatur ulang akses. Untuk informasi selengkapnya, lihat [Menggunakan EC2 Rescue untuk Windows Server dengan Systems Manager Run Command](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2rw-ssm.html) di *Panduan Pengguna Amazon EC2*.
**Untuk menjalankan AWSSupport-ResetAccess Otomasi**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pada panel navigasi, pilih **Otomatisasi**.
1. Pilih **Eksekusi otomatisasi**.
1. Di bagian **Dokumen otomatisasi**, pilih **Dimiliki oleh Amazon** dari daftar.
1. Dalam daftar runbook, pilih tombol di kartu untuk **AWSSupport-ResetAccess**, lalu pilih **Berikutnya**.
1. Pada halaman **Eksekusi dokumen otomatisasi,** pilih **Eksekusi sederhana**.
1. Di bagian **Detail dokumen** verifikasi bahwa **Versi dokumen diatur** ke versi default tertinggi. Misalnya, **\$1DEFAULT** atau **3 (default)**.
1. Di bagian **Parameter input**, tentukan parameter berikut:
1. Untuk **InstanceID**, tentukan ID instans yang tidak terjangkau.
1. Untuk **SubnetId**, tentukan subnet di VPC yang ada di zona ketersediaan yang sama dengan instance yang Anda tentukan. Secara default, Systems Manager menciptakan VPC baru, tetapi Anda dapat menentukan subnet di VPC yang ada jika Anda ingin.
**catatan**
Jika Anda tidak melihat opsi untuk menentukan ID subnet, verifikasi bahwa Anda menggunakan versi **Default** terbaru dari runbook.
1. Untuk **EC2RescueInstanceType**, tentukan jenis instance untuk instance EC2 Rescue. Nilai instans default adalah `t2.medium`.
1. Untuk **AssumeRole**, jika Anda membuat peran untuk Otomasi ini dengan menggunakan CloudFormation prosedur yang dijelaskan sebelumnya dalam topik ini, maka tentukan AssumeRole ARN yang Anda catat di CloudFormation konsol.
1. (Opsional) Di area **Tag**, terapkan satu atau beberapa name/value pasangan kunci tag untuk membantu mengidentifikasi otomatisasi, misalnya`Key=Purpose,Value=ResetAccess`.
1. Pilih **Eksekusi**.
1. Untuk memantau kemajuan otomatisasi, pilih otomatisasi berjalan, dan kemudian pilih tab **Langkah**. Setelah otomatisasi selesai, pilih tab **Deskripsi**, dan kemudian pilih **Tampilkan output** untuk melihat hasilnya. Untuk menampilkan output langkah-langkah individual, pilih tab **Langkah**, dan kemudian pilih **Tampilkan Output** di samping satu langkah.
Runbook membuat cadangan AMI dan kata sandi yang diaktifkan AMI sebagai bagian dari otomatisasi. Semua sumber lain yang dibuat oleh otomatisasi dihapus secara otomatis, tetapi ini AMIs tetap ada di akun Anda. AMIs Dinamai menggunakan konvensi berikut:
+ Backup AMI: `AWSSupport-EC2Rescue:InstanceID`
+ AMI yang diaktifkan kata sandi AWSSupport-EC: 2Rescue: AMI yang diaktifkan kata sandi dari *Instance ID*
Anda dapat menemukan ini AMIs dengan mencari ID eksekusi Otomatisasi.
Untuk Linux, kunci pribadi SSH baru untuk instans Anda disimpan, dienkripsi, di. Parameter Store Nama parameter adalah **/ec2rl/openssh/ *instance ID* /key**.