AWSSupport-TroubleshootSessionManager - AWS Systems Manager Referência do runbook de automação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSSupport-TroubleshootSessionManager

Descrição

O AWSSupport-TroubleshootSessionManager runbook ajuda você a solucionar problemas comuns que impedem a conexão com instâncias gerenciadas do Amazon Elastic Compute Cloud (Amazon EC2) usando o Session Manager. O Gerenciador de Sessões é uma ferramenta em AWS Systems Manager. Este runbook verifica o seguinte:

  • Verifica se a instância está sendo executada e reportada como gerenciada pelo Systems Manager.

  • Executa o runbook AWSSupport-TroubleshootManagedInstance se a instância não estiver reportando como gerenciada pelo Systems Manager.

  • Verifica a versão do SSM Agent instalado na instância.

  • Verifica se um perfil de instância contendo uma política recomendada AWS Identity and Access Management (IAM) para o Session Manager está anexado à EC2 instância da Amazon.

  • Coleta os logs do SSM Agent da instância.

  • Analisa suas preferências do Session Manager.

  • Executa o AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 runbook para analisar a conectividade da instância com os endpoints do Session Manager, AWS Key Management Service (AWS KMS), Amazon Simple Storage Service (Amazon S3) e Amazon CloudWatch Logs (Logs). CloudWatch

Considerações

  • Não há suporte para nós gerenciados híbridos.

  • Esse runbook só verifica se uma política do IAM gerenciada recomendada está anexada ao perfil de instância. Ele não analisa o IAM nem as permissões do AWS KMS contidas no perfil de instância.

Importante

O runbook AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 usa o VPC Reachability Analyzer para analisar a conectividade de rede entre uma fonte e um endpoint de serviço. Você é cobrado por análise executada entre a origem e o destino. Para obter mais detalhes, consulte Preço da Amazon VPC.

Executar esta automação (console)

Tipo de documento

Automação

Proprietário

Amazon

Plataformas

Linux, macOS, Windows

Parâmetros

  • AutomationAssumeRole

    Tipo: String

    Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.

  • InstanceId

    Tipo: String

    Descrição: (Obrigatório) O ID da EC2 instância da Amazon à qual você não consegue se conectar usando o Gerenciador de Sessões.

  • SessionPreferenceDocument

    Tipo: String

    Padrão: SSM- SessionManagerRunShell

    Descrição: (opcional) O nome do seu documento de preferências de sessão. Se não for especificado um documento de preferências de sessão personalizado ao iniciar sessões, use o valor padrão.

Permissões obrigatórias do IAM

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

  • ec2:CreateNetworkInsightsPath

  • ec2:DeleteNetworkInsightsAnalysis

  • ec2:DeleteNetworkInsightsPath

  • ec2:StartNetworkInsightsAnalysis

  • tiros:CreateQuery

  • ec2:DescribeAvailabilityZones

  • ec2:DescribeCustomerGateways

  • ec2:DescribeDhcpOptions

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeInternetGateways

  • ec2:DescribeManagedPrefixLists

  • ec2:DescribeNatGateways

  • ec2:DescribeNetworkAcls

  • ec2:DescribeNetworkInsightsAnalyses

  • ec2:DescribeNetworkInsightsPaths

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribePrefixLists

  • ec2:DescribeRegions

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeTransitGatewayAttachments

  • ec2:DescribeTransitGatewayConnects

  • ec2:DescribeTransitGatewayPeeringAttachments

  • ec2:DescribeTransitGatewayRouteTables

  • ec2:DescribeTransitGateways

  • ec2:DescribeTransitGatewayVpcAttachments

  • ec2:DescribeVpcAttribute

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcEndpointServiceConfigurations

  • ec2:DescribeVpcPeeringConnections

  • ec2:DescribeVpcs

  • ec2:DescribeVpnConnections

  • ec2:DescribeVpnGateways

  • ec2:GetManagedPrefixListEntries

  • ec2:GetTransitGatewayRouteTablePropagations

  • ec2:SearchTransitGatewayRoutes

  • elasticloadbalancing:DescribeListeners

  • elasticloadbalancing:DescribeLoadBalancerAttributes

  • elasticloadbalancing:DescribeLoadBalancers

  • elasticloadbalancing:DescribeRules

  • elasticloadbalancing:DescribeTags

  • elasticloadbalancing:DescribeTargetGroups

  • elasticloadbalancing:DescribeTargetHealth

  • iam:GetInstanceProfile

  • iam:ListAttachedRolePolicies

  • iam:ListRoles

  • iam:PassRole

  • ssm:DescribeAutomationStepExecutions

  • ssm:DescribeInstanceInformation

  • ssm:GetAutomationExecution

  • ssm:GetDocument

  • ssm:ListCommands

  • ssm:ListCommandInvocations

  • ssm:SendCommand

  • ssm:StartAutomationExecution

  • tiros:GetQueryAnswer

  • tiros:GetQueryExplanation

Etapas do documento

  1. aws:waitForAwsResourceProperty: espera até 6 minutos para que sua instância de destino passe pelas verificações de status.

  2. aws:executeScript: analisa o documento de preferência da sessão.

  3. aws:executeAwsApi: obtém o ARN do perfil de instância anexado à sua instância.

  4. aws:executeAwsApi: verifica se a instância está sendo executada e reportada como gerenciada pelo Systems Manager.

  5. aws:branch: ramifica com base no fato de sua instância estar reportando como sendo gerenciada pelo Systems Manager.

  6. aws:executeScript: verifica se o SSM agent instalado na sua instância é compatível com o Session Manager.

  7. aws:branch: ramifica com base na plataforma da sua instância para coletar logs da ssm-cli.

  8. aws:runCommand: coleta a saída de logs da ssm-cli de uma instância do Linux or macOS.

  9. aws:runCommand: coleta a saída de logs da ssm-cli de uma instância do Windows.

  10. aws:executeScript: analisa os logs da ssm-cli .

  11. aws:executeScript: Esse runbook só verifica se uma política do IAM gerenciada recomendada está anexada ao perfil de instância.

  12. aws:branch: determina se a conectividade do endpoint do ssmmessages deve ser avaliada com base nos logs da ssm-cli.

  13. aws:executeAutomation: avalia se a instância pode se conectar a um endpoint do ssmmessages.

  14. aws:branch: determina se a conectividade do endpoint Amazon S3 deve ser avaliada com base nos logs da ssm-cli e nas suas preferências de sessão.

  15. aws:executeAutomation: avalia se a instância pode se conectar a um endpoint do Amazon S3.

  16. aws:branch: determina se a conectividade do AWS KMS endpoint deve ser avaliada com base nos ssm-cli registros e nas suas preferências de sessão.

  17. aws:executeAutomation: avalia se a instância pode se conectar a um AWS KMS endpoint.

  18. aws:branch: determina se a conectividade do endpoint do CloudWatch Logs deve ser avaliada com base nos ssm-cli registros e nas suas preferências de sessão.

  19. aws:executeAutomation: avalia se a instância pode se conectar a um endpoint do CloudWatch Logs.

  20. aws:executeAutomation: executa o runbook AWSSupport-TroubleshootManagedInstance.

  21. aws:executeScript: compila a saída das etapas anteriores e gera um relatório.

Saídas

  • generateReport.EvalReport :Os resultados das verificações realizadas pelo runbook em texto simples.