AWSSupport-TroubleshootEC2InstanceConnect - AWS Systems Manager Referencia del manual de automatización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSSupport-TroubleshootEC2InstanceConnect

Descripción

AWSSupport-TroubleshootEC2InstanceConnectla automatización ayuda a analizar y detectar los errores que impiden la conexión a una instancia de Amazon Elastic Compute Cloud (Amazon EC2) mediante Amazon EC2 Instance Connect. Identifica los problemas causados por una imagen de máquina de Amazon (AMI) no compatible, la falta de instalación o configuración del paquete a nivel del sistema operativo, la falta de permisos AWS Identity and Access Management (IAM) o problemas de configuración de la red.

¿Cómo funciona?

El runbook incluye el ID de instancia de Amazon EC2, el nombre de usuario, el modo de conexión, el CIDR de IP de origen, el puerto SSH y el nombre de recurso de Amazon (ARN) del rol o usuario de IAM que tenga problemas con Amazon EC2 Instance Connect. A continuación, comprueba los requisitos previos para conectarse a una instancia de Amazon EC2 mediante Amazon EC2 Instance Connect:

  • La instancia está en ejecución y en buen estado.

  • La instancia está ubicada en una AWS región compatible con Amazon EC2 Instance Connect.

  • Amazon EC2 Instance Connect admite la AMI de la instancia.

  • La instancia puede acceder al servicio de metadatos de la instancia (IMDSv2).

  • El paquete Amazon EC2 Instance Connect está correctamente instalado y configurado a nivel del sistema operativo.

  • La configuración de red (grupos de seguridad, ACL de red y reglas de tabla de enrutamiento) permite la conexión a la instancia a través de Amazon EC2 Instance Connect.

  • El rol o usuario de IAM que se utiliza para aprovechar Amazon EC2 Instance Connect tiene acceso a las teclas push de la instancia de Amazon EC2.

importante

  • Para comprobar la AMI de la instancia, la accesibilidad de IMDSv2 y la instalación del paquete Instance Connect de Amazon EC2, la instancia debe estar gestionada por SSM. De lo contrario, omite esos pasos. Para obtener más información, consulte ¿Por qué mi instancia de Amazon EC2 no se muestra como un nodo gestionado?

  • La comprobación de red solo detectará si el grupo de seguridad y las reglas de ACL de la red bloquean el tráfico cuando se proporciona el SourceIp CIDR como parámetro de entrada. De lo contrario, solo mostrará las reglas relacionadas con SSH.

  • Las conexiones que utilizan Amazon EC2 Instance Connect Endpoint no se validan en este manual de ejecución.

  • En el caso de las conexiones privadas, la automatización no comprueba si el cliente SSH está instalado en la máquina de origen ni si puede acceder a la dirección IP privada de la instancia.

Tipo de documento

Automatización

Propietario

Amazon

Plataformas

Linux

Parámetros

Permisos de IAM necesarios

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

  • ec2:DescribeInstances

  • ec2:DescribeSecurityGroups

  • ec2:DescribeNetworkAcls

  • ec2:DescribeRouteTables

  • ec2:DescribeInternetGateways

  • iam:SimulatePrincipalPolicy

  • ssm:DescribeInstanceInformation

  • ssm:ListCommands

  • ssm:ListCommandInvocations

  • ssm:SendCommand

Instrucciones

Siga estos pasos para configurar la automatización:

  1. Navegue hasta AWSSupport-TroubleshootEC2InstanceConnectla AWS Systems Manager consola.

  2. Elija Execute automation (Ejecutar automatización).

  3. Para los parámetros de entrada, introduzca lo siguiente:

    • InstanceId (Obligatorio):

      El ID de la instancia de Amazon EC2 de destino a la que no se pudo conectar mediante Amazon EC2 Instance Connect.

    • AutomationAssumeRole (Opcional):

      El ARN de la función de IAM que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que inicia este runbook.

    • Nombre de usuario (obligatorio):

      El nombre de usuario utilizado para conectarse a la instancia de Amazon EC2 mediante Amazon EC2 Instance Connect. Se utiliza para evaluar si se concede el acceso de IAM a este usuario en particular.

    • EC2InstanceConnectRoleOrUser(Obligatorio):

      El ARN del rol o usuario de IAM que utiliza Amazon EC2 Instance Connect para introducir las teclas de la instancia.

    • SSHPort (Opcional):

      El puerto SSH configurado en la instancia de Amazon EC2. El valor predeterminado es 22. El número de puerto debe estar intermedio. 1-65535

    • SourceNetworkType (Opcional):

      El método de acceso de red a la instancia de Amazon EC2:

      • Navegador: se conecta desde la consola AWS de administración.

      • Pública: se conecta a la instancia ubicada en una subred pública a través de Internet (por ejemplo, su ordenador local).

      • Privado: te conectas a través de la dirección IP privada de la instancia.

    • SourceIpCIDR (opcional):

      El CIDR de origen que incluye la dirección IP del dispositivo (por ejemplo, su ordenador local) desde el que iniciará sesión mediante Amazon EC2 Instance Connect. Ejemplo: 172.31.48.6/32. Si no se proporciona ningún valor con el modo de acceso público o privado, el runbook no evaluará si el grupo de seguridad de la instancia Amazon EC2 y las reglas de ACL de la red permiten el tráfico SSH. En su lugar, mostrará las reglas relacionadas con SSH.

    Input parameters form for EC2 Instance Connect troubleshooting with various fields.

  4. Seleccione Ejecutar.

  5. Se inicia la automatización.

  6. Este documento realiza los siguientes pasos:

    • AssertInitialState:

      Garantiza que el estado de la instancia de Amazon EC2 se esté ejecutando. De lo contrario, la automatización finaliza.

    • GetInstanceProperties:

      Obtiene las propiedades actuales de la instancia Amazon EC2 (PlatformDetails, PublicIpAddress VpcId, SubnetId y MetadataHttpEndpoint).

    • GatherInstanceInformationFromSSM:

      Obtiene el estado de ping de la instancia de Systems Manager y los detalles del sistema operativo si la instancia está gestionada por SSM.

    • CheckIfAWSRegionCompatible:

      Comprueba si la instancia de Amazon EC2 se encuentra en una región compatible con Amazon EC2 Instance Connect AWS .

    • BranchOnIfAWSRegionCompatible:

      Continúa la ejecución si Amazon EC2 Instance Connect admite la AWS región. De lo contrario, crea la salida y sale de la automatización.

    • CheckIfInstanceAMIIsCompatible:

      Comprueba si la AMI asociada a la instancia es compatible con Amazon EC2 Instance Connect.

    • BranchOnIfInstanceAMIIsCompatible:

      Si la AMI de la instancia es compatible, realiza las comprobaciones a nivel del sistema operativo, como la accesibilidad de los metadatos y la instalación y configuración del paquete Amazon EC2 Instance Connect. De lo contrario, comprueba si los metadatos HTTP están habilitados mediante la AWS API y, a continuación, pasa al paso de comprobación de la red.

    • Comprobar IMDSReachabilityFromOs:

      Ejecuta un script Bash en la instancia de Amazon EC2 Linux de destino para comprobar si es capaz de acceder a. IMDSv2

    • Compruebe la instalaciónEICPackage:

      Ejecuta un script Bash en la instancia de Amazon EC2 Linux de destino para comprobar si el paquete Amazon EC2 Instance Connect está correctamente instalado y configurado.

    • Compruebe: SSHConfig FromOs

      Ejecuta un script Bash en la instancia Linux Amazon EC2 de destino para comprobar si el puerto SSH configurado coincide con el parámetro de entrada `. SSHPort `

    • CheckMetadataHTTPEndpointIsEnabled:

      Comprueba si el punto final HTTP del servicio de metadatos de la instancia está activado.

    • Comprueba el EICNetwork acceso:

      Comprueba si la configuración de la red (grupos de seguridad, ACL de red y reglas de la tabla de enrutamiento) permite la conexión a la instancia a través de Amazon EC2 Instance Connect.

    • Compruebe IAMRoleOrUserPermissions:

      Comprueba si el rol o usuario de IAM utilizado para aprovechar Amazon EC2 Instance Connect tiene acceso a las teclas push de la instancia de Amazon EC2 mediante el nombre de usuario proporcionado.

    • MakeFinalOutput:

      Consolida el resultado de todos los pasos anteriores.

  7. Una vez finalizado, revise la sección de resultados para ver los resultados detallados de la ejecución:

    Ejecución en la que la instancia de destino cumple todos los requisitos previos necesarios:

    EC2 Instance Connect prerequisites check results showing successful validations for various configurations.

    Ejecución en la que no se admite la AMI de la instancia de destino:

    Error message indicating EC2 Instance Connect does not support the specified AMI version.

Referencias

Automatización de Systems Manager

AWS documentación de servicio