View a markdown version of this page

AWSSupport-CollectEKSInstanceLogs - AWS Systems Manager Referencia del manual de automatización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSSupport-CollectEKSInstanceLogs

Descripción

El manual de procedimientos AWSSupport-CollectEKSInstanceLogs recopila los archivos de registro relacionados con el sistema operativo y Amazon Elastic Kubernetes Service (Amazon EKS) de una instancia de Amazon Elastic Compute Cloud (Amazon EC2) para ayudarle a solucionar problemas comunes. Mientras la automatización recopila los archivos de registro asociados, se realizan cambios en la estructura del sistema de archivos, incluyendo la creación de directorios temporales, la copia de los archivos de registro en los directorios temporales y la compresión de los archivos de registro en un archivo. Esta actividad puede provocar un aumento de CPUUtilization en la instancia de Amazon EC2. Para obtener más informaciónCPUUtilization, consulta las métricas de instancias en la Guía del CloudWatch usuario de Amazon.

Si especifica un valor para el parámetro LogDestination, la automatización evalúa el estado de la política del bucket de Amazon Simple Storage Service (Amazon S3) que especifique. Para mejorar la seguridad de los registros recopilados de su instancia de Amazon EC2, si el estado de la política isPublic está establecido en true o si la lista de control de acceso (ACL) concede permisos de READ|WRITE al grupo predefinido de All Users Amazon S3, los registros no se cargan. Para obtener más información acerca de los grupos predefinidos de Amazon S3, consulte los Grupos predefinidos de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

nota

Esta automatización requiere al menos el 10 por ciento del espacio en disco disponible en el volumen raíz de Amazon Elastic Block Store (Amazon EBS) adjunto a la instancia de Amazon EC2. Si no hay suficiente espacio en disco disponible en el volumen raíz, la automatización se detiene.

Ejecuta esta automatización (consola)

Tipo de documento

Automatización

Propietario

Amazon

Plataformas

Linux

Parámetros

  • AutomationAssumeRole

    Tipo: cadena

    Descripción: (opcional) el Nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.

  • EKSInstanceID

    Tipo: cadena

    Descripción: (obligatorio) ID de la instancia Amazon EC2 de Amazon EKS de la que desea recopilar los registros.

  • LogDestination

    Tipo: cadena

    Descripción: (Opcional) El depósito de Amazon Simple Storage Service (Amazon S3) de su cuenta en el que cargar los registros archivados.

Permisos de IAM necesarios

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ssm:SendCommand

Permisos de IAM necesarios para el perfil de instancia de Amazon EC2

El perfil de instancia utilizado por el EKSInstanceId debe tener adjunta la política gestionada por SSMManagedInstanceCoreAmazon.

También debe poder acceder al bucket de LogDestination Amazon S3 para poder cargar los registros recopilados. A continuación, se muestra un ejemplo de una política de IAM que podría adjuntarse a ese perfil de instancia:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetBucketPolicyStatus",
        "s3:GetBucketAcl"
      ],
      "Resource": [
        "arn:aws:s3:::LogDestination/*",
        "arn:aws:s3:::LogDestination"
      ]
    }
  ]
}

Si LogDestination utiliza el AWS KMS cifrado, se debe añadir una declaración adicional a la política de IAM que conceda acceso a la AWS KMS clave utilizada en el cifrado:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetBucketPolicyStatus",
        "s3:GetBucketAcl"
      ],
      "Resource": [
        "arn:aws:s3:::LogDestination/*",
        "arn:aws:s3:::LogDestination"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "arn:aws:kms:REGION:ACCOUNT:key/KMS-KEY-ID"
    }
  ]
}

Pasos de documentos

  • aws:assertAwsResourceProperty: confirma que el sistema operativo del valor especificado en el parámetro EKSInstanceId es Linux.

  • aws:runCommand: recopila los archivos de registro relacionados con el sistema operativo y Amazon EKS y los comprime en un archivo del directorio /var/log.

  • aws:branch: confirma si se especificó un valor para el parámetro LogDestination.

  • aws:runCommand- Carga el archivo de registro en el depósito de Amazon S3 que especifique en el LogDestination parámetro.