本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWSSupport-TroubleshootManagedInstance
Description
AWSSupport-TroubleshootManagedInstance執行手冊可協助您判斷為何 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體未報告為受AWS Systems Manager管理。此 Runbook 會檢閱執行個體的 VPC 組態,包括安全群組規則、VPC 端點、網路存取控制清單 (ACL) 規則和路由表。它也會確認包含所需許可的 AWS Identity and Access Management (IAM) 執行個體設定檔已附加至執行個體。
重要
此自動化工作流程簿不會評估 IPv6 規則。
文件類型
自動化
擁有者
Amazon
平台
LinuxmacOS, Windows
參數
-
AutomationAssumeRole
類型:字串
說明:(選用) 允許 Systems Manager 自動化代表您執行動作的 AWS Identity and Access Management (IAM) 角色的 Amazon 資源名稱 (ARN)。如果未指定任何角色,Systems Manager 自動化會使用啟動此 runbook 的使用者的權限。
-
InstanceId
類型:字串
說明:(必填) 未報告為由系統管理員所管理之 Amazon EC2 執行個體的 ID。
必要的 IAM 許可
此AutomationAssumeRole參數需要執行下列動作,才能成功使用 Runbook。
-
ssm:DescribeAutomationExecutions -
ssm:DescribeAutomationStepExecutions -
ssm:DescribeInstanceInformation -
ssm:DescribeInstanceProperties -
ssm:StartAutomationExecution -
ssm:GetAutomationExecution -
ssm:GetDocument -
ssm:ListDocuments -
ssm:StartAutomationExecution -
iam:ListRoles -
iam:GetInstanceProfile -
iam:ListAttachedRolePolicies -
ec2:DescribeInstances -
ec2:DescribeNetworkAcls -
ec2:DescribeRouteTables -
ec2:DescribeSecurityGroups -
ec2:DescribeVpcEndpoints
文件步驟
-
aws:executeScript-收集實例PingStatus的。 -
aws:branch-根據執行個體是否已報告為由系統管理員管理的分支。 -
aws:executeAwsApi-收集執行個體的詳細資料,包括 VPC 組態。 -
aws:executeScript-如果適用,會收集與已部署以搭配 Systems Manager 搭配使用的 VPC 端點相關的其他詳細資料,並確認連接至 VPC 端點的安全群組允許來自執行個體的 TCP 連接埠 443 上的輸入流量。 -
aws:executeScript-檢查路由表是否允許傳輸至 VPC 端點或公用 Systems Manager 端點的流量。 -
aws:executeScript-檢查網路 ACL 規則是否允許流量傳送至 VPC 端點或公用 Systems Manager 端點。 -
aws:executeScript-檢查與執行個體關聯的安全性群組是否允許進入 VPC 端點或公用 Systems Manager 端點的輸出流量。 -
aws:executeScript-檢查連接至執行個體的執行個體設定檔是否包含提供必要權限的受管理政策。 -
aws:branch-以執行個體作業系統為基礎的分支。 -
aws:executeScript-提供ssmagent-toolkit-linux殼層指令碼的參考。 -
aws:executeScript-提供ssmagent-toolkit-windowsPowerShell 指令碼的參考。 -
aws:executeScript-生成自動化的最終輸出。 -
aws:executeScript-如果執行個體是Online,則傳回執行個體已由系統管理員管理。PingStatus
