AWSSupport-TroubleshootMWAAEnvironmentCreation - AWS Systems Manager Referência do runbook de automação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSSupport-TroubleshootMWAAEnvironmentCreation

Descrição

O AWSSupport-TroubleshootMWAAEnvironmentCreation runbook fornece informações para depurar problemas de criação de ambientes do Amazon Managed Workflows for Apache Airflow (Amazon MWAA) e realizar verificações, juntamente com os motivos documentados, da melhor forma possível, para ajudar a identificar a falha.

Como funciona?

O runbook executa as seguintes etapas:

  • Recupera os detalhes do ambiente Amazon MWAA.

  • Verifica as permissões da função de execução.

  • Verifica se o ambiente tem permissões para usar a AWS KMS chave fornecida para registro e se o grupo de CloudWatch registros necessário existe.

  • Analisa os registros no grupo de registros fornecido para localizar quaisquer erros.

  • Verifica a configuração da rede para verificar se o ambiente Amazon MWAA tem acesso aos endpoints necessários.

  • Gera um relatório com as descobertas.

Executar esta automação (console)

Tipo de documento

Automação

Proprietário

Amazon

Plataformas

/

Permissões obrigatórias do IAM

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

  • airflow:GetEnvironment

  • cloudtrail:LookupEvents

  • ec2:DescribeNatGateways

  • ec2:DescribeNetworkAcls

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeVpcEndpoints

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetRolePolicy

  • iam:ListAttachedRolePolicies

  • iam:ListRolePolicies

  • iam:SimulateCustomPolicy

  • kms:GetKeyPolicy

  • kms:ListAliases

  • logs:DescribeLogGroups

  • logs:FilterLogEvents

  • s3:GetBucketAcl

  • s3:GetBucketPolicyStatus

  • s3:GetPublicAccessBlock

  • s3control:GetPublicAccessBlock

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

Instruções

Siga estas etapas para configurar a automação:

  1. Navegue até AWSSupport-TroubleshootMWAAEnvironmentCreationem Systems Manager em Documentos.

  2. Selecione Execute automation (Executar automação).

  3. Para os parâmetros de entrada, insira o seguinte:

    • AutomationAssumeRole (Opcional):

      O Amazon Resource Name (ARN) da função AWS AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation execute as ações em seu nome. Se nenhuma função for especificada, o Systems Manager Automation usa as permissões do usuário que inicia esse runbook.

    • EnvironmentName (Obrigatório):

      Nome do ambiente Amazon MWAA que você deseja avaliar.

    Input parameters form with AutomationAssumeRole and EnvironmentName fields for AWS Systems Manager Automation.

  4. Selecione Executar.

  5. A automação é iniciada.

  6. O bucket realiza as seguintes etapas:

    • GetMWAAEnvironmentDetails:

      Recupera os detalhes do ambiente Amazon MWAA. Se essa etapa falhar, o processo de automação será interrompido e exibido comoFailed.

    • CheckIAMPermissionsOnExecutionRole:

      Verifica se a função de execução tem as permissões necessárias para os recursos do Amazon MWAA, Amazon S3, CloudWatch Logs e CloudWatch Amazon SQS. Se detectar uma chave gerenciada pelo cliente AWS Key Management Service (AWS KMS), a automação valida as permissões necessárias da chave. Essa etapa emprega a iam:SimulateCustomPolicy API para verificar se a função de execução da automação atende a todas as permissões necessárias.

    • CheckKMSPolicyOnKMSKey:

      Verifica se a política de AWS KMS chaves permite que o ambiente Amazon MWAA use a chave para criptografar CloudWatch registros. Se a AWS KMS chave for AWS gerenciada, a automação ignora essa verificação.

    • CheckIfRequiredLogGroupsExists:

      Verifica se os grupos de CloudWatch log necessários para o ambiente Amazon MWAA existem. Caso contrário, a automação verifica CloudTrail CreateLogGroup os DeleteLogGroup eventos. Essa etapa também verifica a existência de CreateLogGroup eventos.

    • BranchOnLogGroupsFindings:

      Ramificações com base na existência de grupos de CloudWatch registros relacionados ao ambiente Amazon MWAA. Se existir pelo menos um grupo de registros, a automação o analisará para localizar erros. Se nenhum grupo de registros estiver presente, a automação pulará a próxima etapa.

    • CheckForErrorsInLogGroups:

      Analisa os grupos de CloudWatch registros para localizar erros.

    • GetRequiredEndPointsDetails:

      Recupera os endpoints de serviço utilizados pelo ambiente Amazon MWAA.

    • CheckNetworkConfiguration:

      Verifica se a configuração de rede do ambiente Amazon MWAA atende aos requisitos, incluindo verificações de grupos de segurança, rede ACLs, sub-redes e configurações de tabela de rotas.

    • CheckEndpointsConnectivity:

      Invoca a automação AWSSupport-ConnectivityTroubleshooter secundária para validar a conectividade do Amazon MWAA com os endpoints necessários.

    • CheckS3BlockPublicAccess:

      Verifica se o bucket Amazon S3 do ambiente Amazon MWAA Block Public Access foi ativado e também analisa as configurações gerais do Amazon S3 Block Public Access da conta.

    • GenerateReport:

      Coleta informações da automação e imprime o resultado ou a saída de cada etapa.

  7. Depois de concluído, revise a seção Saídas para obter os resultados detalhados da execução:

    • Verificando as permissões da função de execução do ambiente Amazon MWAA:

      Verifica se a função de execução tem as permissões necessárias para os recursos do Amazon MWAA, Amazon S3, CloudWatch Logs e CloudWatch Amazon SQS. Se uma AWS KMS chave gerenciada pelo cliente for detectada, a automação valida as permissões necessárias da chave.

    • Verificando a política AWS KMS chave do ambiente Amazon MWAA:

      Verifica se a função de execução possui as permissões necessárias para os recursos do Amazon MWAA, Amazon S3 CloudWatch , Logs e CloudWatch Amazon SQS. Além disso, se uma AWS KMS chave gerenciada pelo cliente for detectada, a automação verificará as permissões necessárias da chave.

    • Verificando os grupos de CloudWatch registros do ambiente Amazon MWAA:

      Verifica se os grupos de CloudWatch log necessários para o ambiente Amazon MWAA existem. Caso contrário, a automação verifica CloudTrail a localização CreateLogGroup e DeleteLogGroup os eventos.

    • Verificando as tabelas de rotas do ambiente Amazon MWAA:

      Verifica se as tabelas de rotas da Amazon VPC no ambiente Amazon MWAA estão configuradas corretamente.

    • Verificando os grupos de segurança do ambiente Amazon MWAA:

      Verifica se os grupos de segurança Amazon VPC do ambiente Amazon MWAA estão configurados corretamente.

    • Verificando a rede do ambiente Amazon MWAA: ACLs

      Verifica se os grupos de segurança da Amazon VPC no ambiente Amazon MWAA estão configurados corretamente.

    • Verificando as sub-redes do ambiente Amazon MAA:

      Verifica se as sub-redes do ambiente Amazon MWAA são privadas.

    • A verificação do ambiente Amazon MWAA exigia conectividade de endpoints:

      Verifica se o ambiente Amazon MWAA pode acessar os endpoints necessários. Para isso, a automação invoca a AWSSupport-ConnectivityTroubleshooter automação.

    • Verificando o ambiente Amazon MWAA (bucket do Amazon S3):

      Verifica se o bucket Amazon S3 do ambiente Amazon MWAA Block Public Access foi ativado e também analisa as configurações do Amazon S3 Block Public Access da conta.

    • Verificar os CloudWatch registros do ambiente Amazon MWAA agrupa erros:

      Analisa os grupos de CloudWatch log existentes do ambiente Amazon MWAA para localizar erros.

    Troubleshooting report for MMAA environment showing successful checks and connectivity tests.

Referências

Automação do Systems Manager