AWSSupport-TroubleshootSessionManager - AWS Systems Manager 自動化ランブックリファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSSupport-TroubleshootSessionManager

説明

AWSSupport-TroubleshootSessionManager ランブックは、Session Manager を使用して管理対象の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに接続できない一般的な問題のトラブルシューティングに役立ちます。Session Manager は のツールです AWS Systems Manager。このランブックでは次の項目がチェックされます。

  • インスタンスが実行中で、Systems Manager によって管理対象として報告されているかどうかを確認します。

  • インスタンスが Systems Manager の管理対象として報告されない場合は、AWSSupport-TroubleshootManagedInstance ランブックを実行します。

  • インスタンスにインストールされている SSM エージェントのバージョンを確認します。

  • Session Manager の推奨 AWS Identity and Access Management (IAM) ポリシーを含むインスタンスプロファイルが Amazon EC2 インスタンスにアタッチされているかどうかを確認します。

  • SSM エージェントログをインスタンスから収集します。

  • Session Manager の設定を分析します。

  • AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 ランブックを実行して、Session Manager、 AWS Key Management Service (AWS KMS)、Amazon Simple Storage Service (Amazon S3)、Amazon CloudWatch Logs (CloudWatch Logs) のエンドポイントへのインスタンスの接続を分析します。

考慮事項

  • ハイブリッドマネージドノードはサポートされていません。

  • このランブックは、推奨のマネージド IAM ポリシーがインスタンスプロファイルにアタッチされているかどうかのみをチェックします。インスタンスプロファイルに含まれる IAM や AWS KMS 権限は分析されません。

重要

AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 ランブックは VPC Reachability Analyzer を使用して、ソースとサービスエンドポイント間のネットワーク接続を分析します。ソースとターゲットの間で分析が実行されるたびに課金されます。詳細については、「Amazon VPC の料金」を参照してください。

このオートメーションを実行する (コンソール)

ドキュメントタイプ

Automation

[所有者]

Amazon

[Platforms] (プラットフォーム)

Linux、macOS、Windows

パラメータ

  • AutomationAssumeRole

    タイプ: 文字列

    説明: (オプション) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。

  • InstanceId

    タイプ: 文字列

    説明: (必須) Session Manager を使用して接続できない Amazon EC2 インスタンスの ID。

  • SessionPreferenceDocument

    タイプ: 文字列

    デフォルト: SSM-SessionManagerRunShell

    説明: (オプション) セッション設定ドキュメントの名前。セッションの開始時にカスタムセッション設定ドキュメントを指定しない場合は、デフォルト値を使用してください。

必要な IAM アクセス許可

AutomationAssumeRole パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。

  • ec2:CreateNetworkInsightsPath

  • ec2:DeleteNetworkInsightsAnalysis

  • ec2:DeleteNetworkInsightsPath

  • ec2:StartNetworkInsightsAnalysis

  • tiros:CreateQuery

  • ec2:DescribeAvailabilityZones

  • ec2:DescribeCustomerGateways

  • ec2:DescribeDhcpOptions

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeInternetGateways

  • ec2:DescribeManagedPrefixLists

  • ec2:DescribeNatGateways

  • ec2:DescribeNetworkAcls

  • ec2:DescribeNetworkInsightsAnalyses

  • ec2:DescribeNetworkInsightsPaths

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribePrefixLists

  • ec2:DescribeRegions

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeTransitGatewayAttachments

  • ec2:DescribeTransitGatewayConnects

  • ec2:DescribeTransitGatewayPeeringAttachments

  • ec2:DescribeTransitGatewayRouteTables

  • ec2:DescribeTransitGateways

  • ec2:DescribeTransitGatewayVpcAttachments

  • ec2:DescribeVpcAttribute

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcEndpointServiceConfigurations

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeVpcs

  • ec2:DescribeVpnConnections

  • ec2:DescribeVpnGateways

  • ec2:GetManagedPrefixListEntries

  • ec2:GetTransitGatewayRouteTablePropagations

  • ec2:SearchTransitGatewayRoutes

  • elasticloadbalancing:DescribeListeners

  • elasticloadbalancing:DescribeLoadBalancerAttributes

  • elasticloadbalancing:DescribeLoadBalancers

  • elasticloadbalancing:DescribeRules

  • elasticloadbalancing:DescribeTags

  • elasticloadbalancing:DescribeTargetGroups

  • elasticloadbalancing:DescribeTargetHealth

  • iam:GetInstanceProfile

  • iam:ListAttachedRolePolicies

  • iam:ListRoles

  • iam:PassRole

  • ssm:DescribeAutomationStepExecutions

  • ssm:DescribeInstanceInformation

  • ssm:GetAutomationExecution

  • ssm:GetDocument

  • ssm:ListCommands

  • ssm:ListCommandInvocations

  • ssm:SendCommand

  • ssm:StartAutomationExecution

  • tiros:GetQueryAnswer

  • tiros:GetQueryExplanation

ドキュメントステップ

  1. aws:waitForAwsResourceProperty: ターゲットインスタンスがステータスチェックに合格するまで最大 6 分間待機します。

  2. aws:executeScript: セッション設定ドキュメントを解析します。

  3. aws:executeAwsApi: インスタンスにアタッチされたインスタンスプロファイルの ARN を取得します。

  4. aws:executeAwsApi: インスタンスが、Systems Manager によって管理対象として報告されているかどうかを確認します。

  5. aws:branch: インスタンスが Systems Manager の管理どおりに実行され、レポートされているかどうかに基づいて分岐させます。

  6. aws:executeScript: インスタンスにインストールされている SSM Agent が Session Manager をサポートしているかどうかを確認します。

  7. aws:branch: インスタンスのプラットフォームに基づいて分岐させ、ssm-cli ログを収集します。

  8. aws:runCommand: Linux または macOS インスタンスから ssm-cli のログ出力を収集します。

  9. aws:runCommand: Windows インスタンスの ssm-cli からログ出力を収集します。

  10. aws:executeScript:ssm-cli ログを解析します。

  11. aws:executeScript: 推奨の IAM ポリシーがインスタンスプロファイルにアタッチされているかどうかをチェックします。

  12. aws:branch: ssm-cli ログに基づいて ssmmessages エンドポイント接続を評価するかどうかを決定します。

  13. aws:executeAutomation: インスタンスが ssmmessages エンドポイントに接続できるかどうかを評価します。

  14. aws:branch: ssm-cli ログとセッション設定に基づいて Amazon S3 エンドポイント接続を評価するかどうかを決定します。

  15. aws:executeAutomation: インスタンスが Amazon S3 エンドポイントに接続できるかどうかを評価します。

  16. aws:branch: ssm-cliログとセッション設定に基づいて AWS KMS エンドポイントの接続を評価するかどうかを決定します。

  17. aws:executeAutomation: インスタンスが AWS KMS エンドポイントに接続できるかどうかを評価します。

  18. aws:branch: ssm-cli ログとセッション設定に基づいて CloudWatch Logs エンドポイント接続を評価するかどうかを決定します。

  19. aws:executeAutomation: インスタンスが CloudWatch Logs エンドポイントに接続できるかどうかを評価します。

  20. aws:executeAutomation: AWSSupport-TroubleshootManagedInstance ランブックを実行します。

  21. aws:executeScript: 前のステップの出力をコンパイルし、レポートを出力します。

出力

  • generateReport.EvalReport - ランブックが実行したチェックの結果をプレーンテキストで表示します。