AWSSupport-SetupIPMonitoringFromVPC - AWS Systems Manager Referência do runbook de automação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSSupport-SetupIPMonitoringFromVPC

Descrição

AWSSupport-SetupIPMonitoringFromVPCcria uma instância do Amazon Elastic Compute Cloud (Amazon EC2) na sub-rede especificada e monitora o destino selecionado IPs (IPv4 ou IPv6) executando continuamente testes de ping, MTR, traceroute e tracetcp. Os resultados são armazenados nos CloudWatch registros do Amazon Logs e filtros métricos são aplicados para visualizar rapidamente as estatísticas de latência e perda de pacotes em um painel. CloudWatch

Informações adicionais

Os dados de CloudWatch registros podem ser usados para solucionar problemas de rede e analisar se a pattern/trends. Additionally, you can configure CloudWatch alarms with Amazon SNS notifications when packet loss and/or latência atinge um limite. Os dados também podem ser usados ao abrir um caso com AWS Support, para ajudar a isolar um problema rapidamente e reduzir o tempo de resolução ao investigar um problema de rede.

nota

Para limpar os recursos criados pelo AWSSupport-SetupIPMonitoringFromVPC, é possível usar o runbookAWSSupport-TerminateIPMonitoringFromVPC. Para obter mais informações, consulte AWSSupport-TerminateIPMonitoringFromVPC.

Executar esta automação (console)

Tipo de documento

Automação

Proprietário

Amazon

Plataformas

Linux, macOS, Windows

Parâmetros

  • AutomationAssumeRole

    Tipo: String

    Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.

  • CloudWatchLogGroupNamePrefix

    Tipo: String

    Padrão: /AWSSupport-SetupIPMonitoringFromVPC

    Descrição: (Opcional) Prefixo usado para cada grupo de CloudWatch registros criado para os resultados do teste.

  • CloudWatchLogGroupRetentionInDays

    Tipo: String

    Valores válidos: 1 | 3 | 5 | 7 | 14 | 30 | 60 | 90 | 120 | 150 | 180 | 365 | 400 | 545 | 731 | 1827 | 3653

    Padrão: 7

    Descrição: (Opcional) O número de dias que você deseja manter os resultados de monitoramento de rede.

  • InstanceType

    Tipo: String

    Valores válidos: t2.micro | t2.small | t2.medium | t2.large | t3.micro | t3.small | t3.medium | t3.large | t4g.micro | t4g.small | t4g.medium | t4g.large

    Padrão: t3.micro

    Descrição: (Opcional) O tipo de EC2 instância da instância do EC2 Rescue. Tamanho recomendado: t3.micro.

  • SubnetId

    Tipo: String

    Descrição: (Obrigatório) O ID de sub-rede para a instância do monitor. Lembre-se de que, se você especificar uma sub-rede privada, deverá garantir que haja acesso à Internet para permitir que a instância do monitor configure o teste (ou seja, instale o agente CloudWatch Logs, interaja com o Systems Manager e CloudWatch).

  • Alvo IPs

    Tipo: String

    Descrição: (Obrigatório) Lista separada por vírgulas de IPv4s e/ou IPv6s para monitorar. Espaços não são permitidos. O tamanho máximo é de 255 caracteres. Lembre-se de que, se você fornecer um IP inválido, a automação falhará e reverterá a configuração de teste.

  • TestInstanceSecurityGroupId

    Tipo: String

    Descrição: (Opcional) O ID do grupo de segurança da instância de teste. Se não for especificada, a automação cria uma durante a criação da instância. Certifique-se de que o grupo de segurança permita acesso externo ao monitoramento IPs.

  • TestInstanceProfileName

    Tipo: String

    Descrição: (Opcional) O nome de um perfil de instância do IAM existente para a instância de teste. Se não for especificada, a automação cria uma durante a criação da instância. A função deve ter as seguintes permissões:logs:CreateLogStream,, logs:DescribeLogGroupslogs:DescribeLogStreams, logs:PutLogEvents e a AWS Managed PolicyAmazonSSMManagedInstanceCore.

  • TestInterval

    Tipo: String

    Descrição: (Opcional) O número de minutos entre os intervalos de teste. O valor padrão é 1 minuto e o máximo é 10 minutos.

  • RetainDashboardAndLogsOnDeletion

    Tipo: String

    Descrição: (Opcional) Especifique False a exclusão do CloudWatch painel e dos registros da Amazon ao excluir a CloudFormation pilha da AWS. O valor padrão é True. Por padrão, o painel e os registros são mantidos e precisarão ser excluídos manualmente quando não forem mais necessários.

Permissões obrigatórias do IAM

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

Atenção

É recomendável passar TestInstanceProfileName parâmetros ou garantir a existência de proteções de segurança para evitar o uso indevido de permissões mutáveis do IAM.

É recomendável que o usuário que executa a automação tenha a política gerenciada do Amazon SSMAutomation Role IAM anexada. Além disso, o usuário deve ter a política a seguir anexada à sua conta de usuário, grupo ou função:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:CreateRole",
                "iam:CreateInstanceProfile",
                "iam:GetRole",
                "iam:GetInstanceProfile",
                "iam:DetachRolePolicy",
                "iam:AttachRolePolicy",
                "iam:PassRole",
                "iam:AddRoleToInstanceProfile",
                "iam:GetRolePolicy",
                "iam:RemoveRoleFromInstanceProfile",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DeleteInstanceProfile",
                "iam:PutRolePolicy",
                "iam:TagRole"
            ],
            "Resource": [
                "arn:<partition>:iam::<account-id>:role/SetupIPMonitoringFromVPC*",
                "arn:<partition>:iam::<account-id>:instance-profile/SetupIPMonitoringFromVPC*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:CreateChangeSet",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackEvents",
                "cloudwatch:PutDashboard",
                "cloudwatch:DeleteDashboards",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:CreateSecurityGroup",
                "ec2:CreateLaunchTemplate",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeImages",
                "ec2:DescribeSubnets",
                "ec2:DescribeInstanceTypes",
                "ec2:DescribeVpcs",
                "ec2:DeleteLaunchTemplate",
                "ec2:DeleteSecurityGroup",
                "ec2:RunInstances",
                "ec2:TerminateInstances",
                "ec2:DescribeInstanceStatus",
                "ec2:CreateTags",
                "ec2:AssignIpv6Addresses",
                "ec2:DescribeTags",
                "ec2:DescribeInstances",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeLaunchTemplates",
                "ec2:RevokeSecurityGroupEgress",
                "logs:CreateLogGroup",
                "logs:DeleteLogGroup",
                "logs:PutMetricFilter",
                "logs:PutRetentionPolicy",
                "logs:TagResource",
                "ssm:DescribeInstanceInformation",
                "ssm:GetParameter",
                "ssm:GetParameters",
                "ssm:SendCommand",
                "ssm:ListCommands",
                "ssm:ListCommandInvocations"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

Se o TestInstanceProfileName parâmetro for fornecido, as seguintes permissões do IAM não serão necessárias para executar o runbook:

  • objetivo: CreateRole

  • objetivo: CreateInstanceProfile

  • objetivo: DetachRolePolicy

  • objetivo: AttachRolePolicy

  • objetivo: AddRoleToInstanceProfile

  • objetivo: RemoveRoleFromInstanceProfile

  • objetivo: DeleteRole

  • objetivo: DeleteRolePolicy

  • objetivo: DeleteInstanceProfile

Etapas do documento

  1. aws:executeAwsApi :descreve a sub-rede fornecida.

  2. aws:branch- avalie a IPs entrada do Target.

    (IPv6) Se o Target IPs contiver um IPv6:

    aws:assertAwsResourceProperty- verifique se a sub-rede fornecida tem um IPv6 pool associado

  3. aws:executeScript- obtenha a arquitetura do tipo de instância e o caminho do parâmetro público para o Amazon Linux 2 mais recente AMI.

  4. aws:executeAwsApi- obtenha o Amazon Linux 2 mais recente AMI do Parameter Store.

  5. aws:executeAwsApi: criar um grupo de segurança para o teste na VPC da sub-rede.

    (Limpeza) Se a criação do grupo de segurança falhar:

    aws:executeAwsApi - excluir o grupo de segurança criado pela automação, se existir.

  6. aws:executeAwsApi: permitir a entrada de todo o tráfego de saída no grupo de segurança de teste.

    (Limpeza) Se a criação da regra de saída do grupo de segurança falhar:

    aws:executeAwsApi - excluir o grupo de segurança criado pela automação, se existir.

  7. aws:executeAwsApi- criar uma função do IAM para a EC2 instância de teste

    (Limpeza) Se a criação da função falhar:

    1. aws:executeAwsApi - excluir o perfil do IAM criado pela automação, se existir.

    2. aws:executeAwsApi - excluir o grupo de segurança criado pela automação, se existir.

  8. aws:executeAwsApi- anexar a política SSMManaged InstanceCore gerenciada da Amazon

    (Limpeza) Se a anexação da política falhar:

    1. aws:executeAwsApi- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação, se anexada.

    2. aws:executeAwsApi - excluir o perfil do IAM criado pela automação.

    3. aws:executeAwsApi - excluir o grupo de segurança criado pela automação, se existir.

  9. aws:executeAwsApi- anexe uma política embutida para permitir a configuração de retenções de grupos de CloudWatch registros e a criação de um painel CloudWatch

    (Limpeza) Se a anexação da política em linha falhar:

    1. aws:executeAwsApi- exclua a política CloudWatch embutida da função criada pela automação, se criada.

    2. aws:executeAwsApi- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação.

    3. aws:executeAwsApi - excluir o perfil do IAM criado pela automação.

    4. aws:executeAwsApi - excluir o grupo de segurança criado pela automação, se existir.

  10. aws:executeAwsApi: criar um perfil de instância do IAM

    (Limpeza) Se a criação do perfil de instância falhar:

    1. aws:executeAwsApi - excluir o perfil de instância do IAM criado pela automação, se existir.

    2. aws:executeAwsApi- exclua a política CloudWatch embutida da função criada pela automação.

    3. aws:executeAwsApi- exclua a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação.

    4. aws:executeAwsApi - excluir o perfil do IAM criado pela automação.

    5. aws:executeAwsApi - excluir o grupo de segurança criado pela automação, se existir.

  11. aws:executeAwsApi - anexe o perfil de instância do IAM ao perfil do IAM.

    (Limpeza) Se a associação do perfil de instância e da função falhar:

    1. aws:executeAwsApi - remova o perfil de instância do IAM da função, se associado.

    2. aws:executeAwsApi - excluir o perfil de instância do IAM criado pela automação.

    3. aws:executeAwsApi- exclua a política CloudWatch embutida da função criada pela automação.

    4. aws:executeAwsApi- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação.

    5. aws:executeAwsApi - excluir o perfil do IAM criado pela automação.

    6. aws:executeAwsApi - excluir o grupo de segurança criado pela automação, se existir.

  12. aws:sleep - aguarde que o perfil de instância fique disponível.

  13. aws:runInstances - crie a instância de teste na sub-rede especificada e com o perfil de instância criada anteriormente anexado.

    (Limpeza) Se a etapa falhar:

    1. aws:changeInstanceState :encerre a instância de teste.

    2. aws:executeAwsApi - remover o perfil de instância do IAM da função.

    3. aws:executeAwsApi - excluir o perfil de instância do IAM criado pela automação.

    4. aws:executeAwsApi- exclua a política CloudWatch embutida da função criada pela automação.

    5. aws:executeAwsApi- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação.

    6. aws:executeAwsApi - excluir o perfil do IAM criado pela automação.

    7. aws:executeAwsApi - excluir o grupo de segurança criado pela automação, se existir.

  14. aws:branch- avalie a IPs entrada do Target.

    (IPv6) Se o Target IPs contiver um IPv6:

    aws:executeAwsApi- IPv6 atribua um à instância de teste.

  15. aws:waitForAwsResourceProperty :aguarde até que a instância de teste se torne uma instância gerenciada.

    (Limpeza) Se a etapa falhar:

    1. aws:changeInstanceState :encerre a instância de teste.

    2. aws:executeAwsApi - remover o perfil de instância do IAM da função.

    3. aws:executeAwsApi - excluir o perfil de instância do IAM criado pela automação.

    4. aws:executeAwsApi- exclua a política CloudWatch embutida da função criada pela automação.

    5. aws:executeAwsApi- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação.

    6. aws:executeAwsApi - excluir o perfil do IAM criado pela automação.

    7. aws:executeAwsApi - excluir o grupo de segurança criado pela automação, se existir.

  16. aws:runCommand :instale os pré-requisitos de teste:

    (Limpeza) Se a etapa falhar:

    1. aws:changeInstanceState :encerre a instância de teste.

    2. aws:executeAwsApi - remover o perfil de instância do IAM da função.

    3. aws:executeAwsApi - excluir o perfil de instância do IAM criado pela automação.

    4. aws:executeAwsApi- exclua a política CloudWatch embutida da função criada pela automação.

    5. aws:executeAwsApi- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação.

    6. aws:executeAwsApi - excluir o perfil do IAM criado pela automação.

    7. aws:executeAwsApi - excluir o grupo de segurança criado pela automação, se existir.

  17. aws:runCommand- validar se os endereços fornecidos IPs estão sintaticamente corretos IPv4 e/ou: IPv6

    (Limpeza) Se a etapa falhar:

    1. aws:changeInstanceState :encerre a instância de teste.

    2. aws:executeAwsApi - remover o perfil de instância do IAM da função.

    3. aws:executeAwsApi - excluir o perfil de instância do IAM criado pela automação.

    4. aws:executeAwsApi- exclua a política CloudWatch embutida da função criada pela automação.

    5. aws:executeAwsApi- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação.

    6. aws:executeAwsApi - excluir o perfil do IAM criado pela automação.

    7. aws:executeAwsApi - excluir o grupo de segurança criado pela automação, se existir.

  18. aws:runCommand- defina o teste MTR para cada um dos fornecidos IPs.

    (Limpeza) Se a etapa falhar:

    1. aws:changeInstanceState :encerre a instância de teste.

    2. aws:executeAwsApi - remover o perfil de instância do IAM da função.

    3. aws:executeAwsApi - excluir o perfil de instância do IAM criado pela automação.

    4. aws:executeAwsApi- exclua a política CloudWatch embutida da função criada pela automação.

    5. aws:executeAwsApi- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação.

    6. aws:executeAwsApi - excluir o perfil do IAM criado pela automação.

    7. aws:executeAwsApi - excluir o grupo de segurança criado pela automação, se existir.

  19. aws:runCommand- defina o primeiro teste de ping para cada um dos fornecidos IPs.

    (Limpeza) Se a etapa falhar:

    1. aws:changeInstanceState :encerre a instância de teste.

    2. aws:executeAwsApi - remover o perfil de instância do IAM da função.

    3. aws:executeAwsApi - excluir o perfil de instância do IAM criado pela automação.

    4. aws:executeAwsApi- exclua a política CloudWatch embutida da função criada pela automação.

    5. aws:executeAwsApi- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação.

    6. aws:executeAwsApi - excluir o perfil do IAM criado pela automação.

    7. aws:executeAwsApi - excluir o grupo de segurança criado pela automação, se existir.

  20. aws:runCommand- defina o segundo teste de ping para cada um dos fornecidos IPs.

    (Limpeza) Se a etapa falhar:

    1. aws:changeInstanceState :encerre a instância de teste.

    2. aws:executeAwsApi - remover o perfil de instância do IAM da função.

    3. aws:executeAwsApi - excluir o perfil de instância do IAM criado pela automação.

    4. aws:executeAwsApi- exclua a política CloudWatch embutida da função criada pela automação.

    5. aws:executeAwsApi- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação.

    6. aws:executeAwsApi - excluir o perfil do IAM criado pela automação.

    7. aws:executeAwsApi - excluir o grupo de segurança criado pela automação, se existir.

  21. aws:runCommand- defina o teste de rastreamento para cada um dos fornecidos. IPs

    (Limpeza) Se a etapa falhar:

    1. aws:changeInstanceState :encerre a instância de teste.

    2. aws:executeAwsApi - remover o perfil de instância do IAM da função.

    3. aws:executeAwsApi - excluir o perfil de instância do IAM criado pela automação.

    4. aws:executeAwsApi- exclua a política CloudWatch embutida da função criada pela automação.

    5. aws:executeAwsApi- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação.

    6. aws:executeAwsApi - excluir o perfil do IAM criado pela automação.

    7. aws:executeAwsApi - excluir o grupo de segurança criado pela automação, se existir.

  22. aws:runCommand- defina o teste de traceroute para cada um dos fornecidos. IPs

    (Limpeza) Se a etapa falhar:

    1. aws:changeInstanceState :encerre a instância de teste.

    2. aws:executeAwsApi - remover o perfil de instância do IAM da função.

    3. aws:executeAwsApi - excluir o perfil de instância do IAM criado pela automação.

    4. aws:executeAwsApi- exclua a política CloudWatch embutida da função criada pela automação.

    5. aws:executeAwsApi- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação.

    6. aws:executeAwsApi - excluir o perfil do IAM criado pela automação.

    7. aws:executeAwsApi - excluir o grupo de segurança criado pela automação, se existir.

  23. aws:runCommand- configurar CloudWatch registros.

    (Limpeza) Se a etapa falhar:

    1. aws:changeInstanceState :encerre a instância de teste.

    2. aws:executeAwsApi - remover o perfil de instância do IAM da função.

    3. aws:executeAwsApi - excluir o perfil de instância do IAM criado pela automação.

    4. aws:executeAwsApi- exclua a política CloudWatch embutida da função criada pela automação.

    5. aws:executeAwsApi- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação.

    6. aws:executeAwsApi - excluir o perfil do IAM criado pela automação.

    7. aws:executeAwsApi - excluir o grupo de segurança criado pela automação, se existir.

  24. aws:runCommand - programe cronjobs para executar cada teste a cada minuto.

    (Limpeza) Se a etapa falhar:

    1. aws:changeInstanceState :encerre a instância de teste.

    2. aws:executeAwsApi - remover o perfil de instância do IAM da função.

    3. aws:executeAwsApi - excluir o perfil de instância do IAM criado pela automação.

    4. aws:executeAwsApi- exclua a política CloudWatch embutida da função criada pela automação.

    5. aws:executeAwsApi- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação.

    6. aws:executeAwsApi - excluir o perfil do IAM criado pela automação.

    7. aws:executeAwsApi - excluir o grupo de segurança criado pela automação, se existir.

  25. aws:sleep - aguarde até que os testes gerem alguns dados.

  26. aws:runCommand- defina as retenções de grupos de CloudWatch registros desejadas.

    (Limpeza) Se a etapa falhar:

    1. aws:changeInstanceState :encerre a instância de teste.

    2. aws:executeAwsApi - remover o perfil de instância do IAM da função.

    3. aws:executeAwsApi - excluir o perfil de instância do IAM criado pela automação.

    4. aws:executeAwsApi- exclua a política CloudWatch embutida da função criada pela automação.

    5. aws:executeAwsApi- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação.

    6. aws:executeAwsApi - excluir o perfil do IAM criado pela automação.

    7. aws:executeAwsApi - excluir o grupo de segurança criado pela automação, se existir.

  27. aws:runCommand- defina os filtros métricos do grupo de CloudWatch registros.

    (Limpeza) Se a etapa falhar:

    1. aws:changeInstanceState :encerre a instância de teste.

    2. aws:executeAwsApi - remover o perfil de instância do IAM da função.

    3. aws:executeAwsApi - excluir o perfil de instância do IAM criado pela automação.

    4. aws:executeAwsApi- exclua a política CloudWatch embutida da função criada pela automação.

    5. aws:executeAwsApi- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação.

    6. aws:executeAwsApi - excluir o perfil do IAM criado pela automação.

    7. aws:executeAwsApi - excluir o grupo de segurança criado pela automação, se existir.

  28. aws:runCommand- crie o CloudWatch painel.

    (Limpeza) Se a etapa falhar:

    1. aws:executeAwsApi- exclua o CloudWatch painel, se ele existir.

    2. aws:changeInstanceState :encerre a instância de teste.

    3. aws:executeAwsApi - remover o perfil de instância do IAM da função.

    4. aws:executeAwsApi - excluir o perfil de instância do IAM criado pela automação.

    5. aws:executeAwsApi- exclua a política CloudWatch embutida da função criada pela automação.

    6. aws:executeAwsApi- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação.

    7. aws:executeAwsApi - excluir o perfil do IAM criado pela automação.

    8. aws:executeAwsApi - excluir o grupo de segurança criado pela automação, se existir.

Saídas

createCloudWatchDashboards.Output - o URL do painel. CloudWatch

createManagedInstance. InstanceIds - o ID da instância de teste.