As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWSSupport-SetupIPMonitoringFromVPC
Descrição
AWSSupport-SetupIPMonitoringFromVPC
cria uma instância do Amazon Elastic Compute Cloud (Amazon EC2) na sub-rede especificada e monitora o destino selecionado IPs (IPv4 ou IPv6) executando continuamente testes de ping, MTR, traceroute e tracetcp. Os resultados são armazenados nos CloudWatch registros do Amazon Logs e filtros métricos são aplicados para visualizar rapidamente as estatísticas de latência e perda de pacotes em um painel. CloudWatch
Informações adicionais
Os dados de CloudWatch registros podem ser usados para solucionar problemas de rede e analisar se a pattern/trends. Additionally, you can configure CloudWatch alarms with Amazon SNS notifications when packet loss and/or latência atinge um limite. Os dados também podem ser usados ao abrir um caso com AWS Support, para ajudar a isolar um problema rapidamente e reduzir o tempo de resolução ao investigar um problema de rede.
nota
Para limpar os recursos criados pelo AWSSupport-SetupIPMonitoringFromVPC
, é possível usar o runbookAWSSupport-TerminateIPMonitoringFromVPC
. Para obter mais informações, consulte AWSSupport-TerminateIPMonitoringFromVPC.
Executar esta automação (console)
Tipo de documento
Automação
Proprietário
Amazon
Plataformas
Linux, macOS, Windows
Parâmetros
-
AutomationAssumeRole
Tipo: String
Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
-
CloudWatchLogGroupNamePrefix
Tipo: String
Padrão:
/AWSSupport-SetupIPMonitoringFromVPC
Descrição: (Opcional) Prefixo usado para cada grupo de CloudWatch registros criado para os resultados do teste.
-
CloudWatchLogGroupRetentionInDays
Tipo: String
Valores válidos: 1 | 3 | 5 | 7 | 14 | 30 | 60 | 90 | 120 | 150 | 180 | 365 | 400 | 545 | 731 | 1827 | 3653
Padrão: 7
Descrição: (Opcional) O número de dias que você deseja manter os resultados de monitoramento de rede.
-
InstanceType
Tipo: String
Valores válidos: t2.micro | t2.small | t2.medium | t2.large | t3.micro | t3.small | t3.medium | t3.large | t4g.micro | t4g.small | t4g.medium | t4g.large
Padrão: t3.micro
Descrição: (Opcional) O tipo de EC2 instância da instância do EC2 Rescue. Tamanho recomendado: t3.micro.
-
SubnetId
Tipo: String
Descrição: (Obrigatório) O ID de sub-rede para a instância do monitor. Lembre-se de que, se você especificar uma sub-rede privada, deverá garantir que haja acesso à Internet para permitir que a instância do monitor configure o teste (ou seja, instale o agente CloudWatch Logs, interaja com o Systems Manager e CloudWatch).
-
Alvo IPs
Tipo: String
Descrição: (Obrigatório) Lista separada por vírgulas de IPv4s e/ou IPv6s para monitorar. Espaços não são permitidos. O tamanho máximo é de 255 caracteres. Lembre-se de que, se você fornecer um IP inválido, a automação falhará e reverterá a configuração de teste.
-
TestInstanceSecurityGroupId
Tipo: String
Descrição: (Opcional) O ID do grupo de segurança da instância de teste. Se não for especificada, a automação cria uma durante a criação da instância. Certifique-se de que o grupo de segurança permita acesso externo ao monitoramento IPs.
-
TestInstanceProfileName
Tipo: String
Descrição: (Opcional) O nome de um perfil de instância do IAM existente para a instância de teste. Se não for especificada, a automação cria uma durante a criação da instância. A função deve ter as seguintes permissões:
logs:CreateLogStream
,,logs:DescribeLogGroups
logs:DescribeLogStreams
,logs:PutLogEvents
e a AWS Managed PolicyAmazonSSMManagedInstanceCore
. -
TestInterval
Tipo: String
Descrição: (Opcional) O número de minutos entre os intervalos de teste. O valor padrão é
1
minuto e o máximo é10
minutos. -
RetainDashboardAndLogsOnDeletion
Tipo: String
Descrição: (Opcional) Especifique
False
a exclusão do CloudWatch painel e dos registros da Amazon ao excluir a CloudFormation pilha da AWS. O valor padrão éTrue
. Por padrão, o painel e os registros são mantidos e precisarão ser excluídos manualmente quando não forem mais necessários.
Permissões obrigatórias do IAM
O parâmetro AutomationAssumeRole
requer as seguintes ações para usar o runbook com êxito.
Atenção
É recomendável passar TestInstanceProfileName
parâmetros ou garantir a existência de proteções de segurança para evitar o uso indevido de permissões mutáveis do IAM.
É recomendável que o usuário que executa a automação tenha a política gerenciada do Amazon SSMAutomation Role IAM anexada. Além disso, o usuário deve ter a política a seguir anexada à sua conta de usuário, grupo ou função:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "iam:CreateRole", "iam:CreateInstanceProfile", "iam:GetRole", "iam:GetInstanceProfile", "iam:DetachRolePolicy", "iam:AttachRolePolicy", "iam:PassRole", "iam:AddRoleToInstanceProfile", "iam:GetRolePolicy", "iam:RemoveRoleFromInstanceProfile", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DeleteInstanceProfile", "iam:PutRolePolicy", "iam:TagRole" ], "Resource": [ "arn:
<partition>
:iam::<account-id>
:role/SetupIPMonitoringFromVPC*", "arn:<partition>
:iam::<account-id>
:instance-profile/SetupIPMonitoringFromVPC*" ], "Effect": "Allow" }, { "Action": [ "cloudformation:CreateStack", "cloudformation:CreateChangeSet", "cloudformation:DeleteStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudwatch:PutDashboard", "cloudwatch:DeleteDashboards", "ec2:AuthorizeSecurityGroupEgress", "ec2:CreateSecurityGroup", "ec2:CreateLaunchTemplate", "ec2:DeleteSecurityGroup", "ec2:DescribeImages", "ec2:DescribeSubnets", "ec2:DescribeInstanceTypes", "ec2:DescribeVpcs", "ec2:DeleteLaunchTemplate", "ec2:DeleteSecurityGroup", "ec2:RunInstances", "ec2:TerminateInstances", "ec2:DescribeInstanceStatus", "ec2:CreateTags", "ec2:AssignIpv6Addresses", "ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeSecurityGroups", "ec2:DescribeLaunchTemplates", "ec2:RevokeSecurityGroupEgress", "logs:CreateLogGroup", "logs:DeleteLogGroup", "logs:PutMetricFilter", "logs:PutRetentionPolicy", "logs:TagResource", "ssm:DescribeInstanceInformation", "ssm:GetParameter", "ssm:GetParameters", "ssm:SendCommand", "ssm:ListCommands", "ssm:ListCommandInvocations" ], "Resource": [ "*" ], "Effect": "Allow" } ] }
Se o TestInstanceProfileName
parâmetro for fornecido, as seguintes permissões do IAM não serão necessárias para executar o runbook:
-
objetivo: CreateRole
-
objetivo: CreateInstanceProfile
-
objetivo: DetachRolePolicy
-
objetivo: AttachRolePolicy
-
objetivo: AddRoleToInstanceProfile
-
objetivo: RemoveRoleFromInstanceProfile
-
objetivo: DeleteRole
-
objetivo: DeleteRolePolicy
-
objetivo: DeleteInstanceProfile
Etapas do documento
-
aws:executeAwsApi
:descreve a sub-rede fornecida. -
aws:branch
- avalie a IPs entrada do Target.(IPv6) Se o Target IPs contiver um IPv6:
aws:assertAwsResourceProperty
- verifique se a sub-rede fornecida tem um IPv6 pool associado -
aws:executeScript
- obtenha a arquitetura do tipo de instância e o caminho do parâmetro público para o Amazon Linux 2 mais recente AMI. -
aws:executeAwsApi
- obtenha o Amazon Linux 2 mais recente AMI do Parameter Store. -
aws:executeAwsApi
: criar um grupo de segurança para o teste na VPC da sub-rede.(Limpeza) Se a criação do grupo de segurança falhar:
aws:executeAwsApi
- excluir o grupo de segurança criado pela automação, se existir. -
aws:executeAwsApi
: permitir a entrada de todo o tráfego de saída no grupo de segurança de teste.(Limpeza) Se a criação da regra de saída do grupo de segurança falhar:
aws:executeAwsApi
- excluir o grupo de segurança criado pela automação, se existir. -
aws:executeAwsApi
- criar uma função do IAM para a EC2 instância de teste(Limpeza) Se a criação da função falhar:
-
aws:executeAwsApi
- excluir o perfil do IAM criado pela automação, se existir. -
aws:executeAwsApi
- excluir o grupo de segurança criado pela automação, se existir.
-
-
aws:executeAwsApi
- anexar a política SSMManaged InstanceCore gerenciada da Amazon(Limpeza) Se a anexação da política falhar:
-
aws:executeAwsApi
- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação, se anexada. -
aws:executeAwsApi
- excluir o perfil do IAM criado pela automação. -
aws:executeAwsApi
- excluir o grupo de segurança criado pela automação, se existir.
-
-
aws:executeAwsApi
- anexe uma política embutida para permitir a configuração de retenções de grupos de CloudWatch registros e a criação de um painel CloudWatch(Limpeza) Se a anexação da política em linha falhar:
-
aws:executeAwsApi
- exclua a política CloudWatch embutida da função criada pela automação, se criada. -
aws:executeAwsApi
- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação. -
aws:executeAwsApi
- excluir o perfil do IAM criado pela automação. -
aws:executeAwsApi
- excluir o grupo de segurança criado pela automação, se existir.
-
-
aws:executeAwsApi
: criar um perfil de instância do IAM(Limpeza) Se a criação do perfil de instância falhar:
-
aws:executeAwsApi
- excluir o perfil de instância do IAM criado pela automação, se existir. -
aws:executeAwsApi
- exclua a política CloudWatch embutida da função criada pela automação. -
aws:executeAwsApi
- exclua a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação. -
aws:executeAwsApi
- excluir o perfil do IAM criado pela automação. -
aws:executeAwsApi
- excluir o grupo de segurança criado pela automação, se existir.
-
-
aws:executeAwsApi
- anexe o perfil de instância do IAM ao perfil do IAM.(Limpeza) Se a associação do perfil de instância e da função falhar:
-
aws:executeAwsApi
- remova o perfil de instância do IAM da função, se associado. -
aws:executeAwsApi
- excluir o perfil de instância do IAM criado pela automação. -
aws:executeAwsApi
- exclua a política CloudWatch embutida da função criada pela automação. -
aws:executeAwsApi
- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação. -
aws:executeAwsApi
- excluir o perfil do IAM criado pela automação. -
aws:executeAwsApi
- excluir o grupo de segurança criado pela automação, se existir.
-
-
aws:sleep
- aguarde que o perfil de instância fique disponível. -
aws:runInstances
- crie a instância de teste na sub-rede especificada e com o perfil de instância criada anteriormente anexado.(Limpeza) Se a etapa falhar:
-
aws:changeInstanceState
:encerre a instância de teste. -
aws:executeAwsApi
- remover o perfil de instância do IAM da função. -
aws:executeAwsApi
- excluir o perfil de instância do IAM criado pela automação. -
aws:executeAwsApi
- exclua a política CloudWatch embutida da função criada pela automação. -
aws:executeAwsApi
- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação. -
aws:executeAwsApi
- excluir o perfil do IAM criado pela automação. -
aws:executeAwsApi
- excluir o grupo de segurança criado pela automação, se existir.
-
-
aws:branch
- avalie a IPs entrada do Target.(IPv6) Se o Target IPs contiver um IPv6:
aws:executeAwsApi
- IPv6 atribua um à instância de teste. -
aws:waitForAwsResourceProperty
:aguarde até que a instância de teste se torne uma instância gerenciada.(Limpeza) Se a etapa falhar:
-
aws:changeInstanceState
:encerre a instância de teste. -
aws:executeAwsApi
- remover o perfil de instância do IAM da função. -
aws:executeAwsApi
- excluir o perfil de instância do IAM criado pela automação. -
aws:executeAwsApi
- exclua a política CloudWatch embutida da função criada pela automação. -
aws:executeAwsApi
- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação. -
aws:executeAwsApi
- excluir o perfil do IAM criado pela automação. -
aws:executeAwsApi
- excluir o grupo de segurança criado pela automação, se existir.
-
-
aws:runCommand
:instale os pré-requisitos de teste:(Limpeza) Se a etapa falhar:
-
aws:changeInstanceState
:encerre a instância de teste. -
aws:executeAwsApi
- remover o perfil de instância do IAM da função. -
aws:executeAwsApi
- excluir o perfil de instância do IAM criado pela automação. -
aws:executeAwsApi
- exclua a política CloudWatch embutida da função criada pela automação. -
aws:executeAwsApi
- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação. -
aws:executeAwsApi
- excluir o perfil do IAM criado pela automação. -
aws:executeAwsApi
- excluir o grupo de segurança criado pela automação, se existir.
-
-
aws:runCommand
- validar se os endereços fornecidos IPs estão sintaticamente corretos IPv4 e/ou: IPv6(Limpeza) Se a etapa falhar:
-
aws:changeInstanceState
:encerre a instância de teste. -
aws:executeAwsApi
- remover o perfil de instância do IAM da função. -
aws:executeAwsApi
- excluir o perfil de instância do IAM criado pela automação. -
aws:executeAwsApi
- exclua a política CloudWatch embutida da função criada pela automação. -
aws:executeAwsApi
- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação. -
aws:executeAwsApi
- excluir o perfil do IAM criado pela automação. -
aws:executeAwsApi
- excluir o grupo de segurança criado pela automação, se existir.
-
-
aws:runCommand
- defina o teste MTR para cada um dos fornecidos IPs.(Limpeza) Se a etapa falhar:
-
aws:changeInstanceState
:encerre a instância de teste. -
aws:executeAwsApi
- remover o perfil de instância do IAM da função. -
aws:executeAwsApi
- excluir o perfil de instância do IAM criado pela automação. -
aws:executeAwsApi
- exclua a política CloudWatch embutida da função criada pela automação. -
aws:executeAwsApi
- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação. -
aws:executeAwsApi
- excluir o perfil do IAM criado pela automação. -
aws:executeAwsApi
- excluir o grupo de segurança criado pela automação, se existir.
-
-
aws:runCommand
- defina o primeiro teste de ping para cada um dos fornecidos IPs.(Limpeza) Se a etapa falhar:
-
aws:changeInstanceState
:encerre a instância de teste. -
aws:executeAwsApi
- remover o perfil de instância do IAM da função. -
aws:executeAwsApi
- excluir o perfil de instância do IAM criado pela automação. -
aws:executeAwsApi
- exclua a política CloudWatch embutida da função criada pela automação. -
aws:executeAwsApi
- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação. -
aws:executeAwsApi
- excluir o perfil do IAM criado pela automação. -
aws:executeAwsApi
- excluir o grupo de segurança criado pela automação, se existir.
-
-
aws:runCommand
- defina o segundo teste de ping para cada um dos fornecidos IPs.(Limpeza) Se a etapa falhar:
-
aws:changeInstanceState
:encerre a instância de teste. -
aws:executeAwsApi
- remover o perfil de instância do IAM da função. -
aws:executeAwsApi
- excluir o perfil de instância do IAM criado pela automação. -
aws:executeAwsApi
- exclua a política CloudWatch embutida da função criada pela automação. -
aws:executeAwsApi
- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação. -
aws:executeAwsApi
- excluir o perfil do IAM criado pela automação. -
aws:executeAwsApi
- excluir o grupo de segurança criado pela automação, se existir.
-
-
aws:runCommand
- defina o teste de rastreamento para cada um dos fornecidos. IPs(Limpeza) Se a etapa falhar:
-
aws:changeInstanceState
:encerre a instância de teste. -
aws:executeAwsApi
- remover o perfil de instância do IAM da função. -
aws:executeAwsApi
- excluir o perfil de instância do IAM criado pela automação. -
aws:executeAwsApi
- exclua a política CloudWatch embutida da função criada pela automação. -
aws:executeAwsApi
- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação. -
aws:executeAwsApi
- excluir o perfil do IAM criado pela automação. -
aws:executeAwsApi
- excluir o grupo de segurança criado pela automação, se existir.
-
-
aws:runCommand
- defina o teste de traceroute para cada um dos fornecidos. IPs(Limpeza) Se a etapa falhar:
-
aws:changeInstanceState
:encerre a instância de teste. -
aws:executeAwsApi
- remover o perfil de instância do IAM da função. -
aws:executeAwsApi
- excluir o perfil de instância do IAM criado pela automação. -
aws:executeAwsApi
- exclua a política CloudWatch embutida da função criada pela automação. -
aws:executeAwsApi
- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação. -
aws:executeAwsApi
- excluir o perfil do IAM criado pela automação. -
aws:executeAwsApi
- excluir o grupo de segurança criado pela automação, se existir.
-
-
aws:runCommand
- configurar CloudWatch registros.(Limpeza) Se a etapa falhar:
-
aws:changeInstanceState
:encerre a instância de teste. -
aws:executeAwsApi
- remover o perfil de instância do IAM da função. -
aws:executeAwsApi
- excluir o perfil de instância do IAM criado pela automação. -
aws:executeAwsApi
- exclua a política CloudWatch embutida da função criada pela automação. -
aws:executeAwsApi
- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação. -
aws:executeAwsApi
- excluir o perfil do IAM criado pela automação. -
aws:executeAwsApi
- excluir o grupo de segurança criado pela automação, se existir.
-
-
aws:runCommand
- programe cronjobs para executar cada teste a cada minuto.(Limpeza) Se a etapa falhar:
-
aws:changeInstanceState
:encerre a instância de teste. -
aws:executeAwsApi
- remover o perfil de instância do IAM da função. -
aws:executeAwsApi
- excluir o perfil de instância do IAM criado pela automação. -
aws:executeAwsApi
- exclua a política CloudWatch embutida da função criada pela automação. -
aws:executeAwsApi
- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação. -
aws:executeAwsApi
- excluir o perfil do IAM criado pela automação. -
aws:executeAwsApi
- excluir o grupo de segurança criado pela automação, se existir.
-
-
aws:sleep
- aguarde até que os testes gerem alguns dados. -
aws:runCommand
- defina as retenções de grupos de CloudWatch registros desejadas.(Limpeza) Se a etapa falhar:
-
aws:changeInstanceState
:encerre a instância de teste. -
aws:executeAwsApi
- remover o perfil de instância do IAM da função. -
aws:executeAwsApi
- excluir o perfil de instância do IAM criado pela automação. -
aws:executeAwsApi
- exclua a política CloudWatch embutida da função criada pela automação. -
aws:executeAwsApi
- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação. -
aws:executeAwsApi
- excluir o perfil do IAM criado pela automação. -
aws:executeAwsApi
- excluir o grupo de segurança criado pela automação, se existir.
-
-
aws:runCommand
- defina os filtros métricos do grupo de CloudWatch registros.(Limpeza) Se a etapa falhar:
-
aws:changeInstanceState
:encerre a instância de teste. -
aws:executeAwsApi
- remover o perfil de instância do IAM da função. -
aws:executeAwsApi
- excluir o perfil de instância do IAM criado pela automação. -
aws:executeAwsApi
- exclua a política CloudWatch embutida da função criada pela automação. -
aws:executeAwsApi
- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação. -
aws:executeAwsApi
- excluir o perfil do IAM criado pela automação. -
aws:executeAwsApi
- excluir o grupo de segurança criado pela automação, se existir.
-
-
aws:runCommand
- crie o CloudWatch painel.(Limpeza) Se a etapa falhar:
-
aws:executeAwsApi
- exclua o CloudWatch painel, se ele existir. -
aws:changeInstanceState
:encerre a instância de teste. -
aws:executeAwsApi
- remover o perfil de instância do IAM da função. -
aws:executeAwsApi
- excluir o perfil de instância do IAM criado pela automação. -
aws:executeAwsApi
- exclua a política CloudWatch embutida da função criada pela automação. -
aws:executeAwsApi
- separe a política SSMManaged InstanceCore gerenciada da Amazon da função criada pela automação. -
aws:executeAwsApi
- excluir o perfil do IAM criado pela automação. -
aws:executeAwsApi
- excluir o grupo de segurança criado pela automação, se existir.
-
Saídas
createCloudWatchDashboards.Output - o URL do painel. CloudWatch
createManagedInstance. InstanceIds - o ID da instância de teste.