AWSSupport-CollectEKSInstanceLogs - AWS Systems Manager Référence du manuel d'automatisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSSupport-CollectEKSInstanceLogs

Description

Le AWSSupport-CollectEKSInstanceLogs runbook rassemble les fichiers journaux relatifs au système d'exploitation et à Amazon Elastic Kubernetes Service (Amazon EKS) à partir d'une instance Amazon Elastic Compute Cloud (Amazon EC2) afin de vous aider à résoudre les problèmes courants. Pendant que l'automatisation collecte les fichiers journaux associés, des modifications sont apportées à la structure du système de fichiers, notamment la création de répertoires temporaires, la copie des fichiers journaux dans les répertoires temporaires et la compression des fichiers journaux dans une archive. Cette activité peut entraîner une augmentation de CPUUtilization l'instance Amazon EC2. Pour plus d'informationsCPUUtilization, consultez la section Mesures relatives aux instances dans le guide de CloudWatch l'utilisateur Amazon.

Si vous spécifiez une valeur pour le LogDestination paramètre, l'automatisation évalue l'état de la politique du bucket Amazon Simple Storage Service (Amazon S3) que vous spécifiez. Pour renforcer la sécurité des journaux collectés depuis votre instance Amazon EC2, si le statut de la politique isPublic est défini surtrue, ou si la liste de contrôle d'accès (ACL) accorde des READ|WRITE autorisations au groupe prédéfini All Users Amazon S3, les journaux ne sont pas chargés. Pour plus d'informations sur les groupes prédéfinis Amazon S3, consultez les groupes prédéfinis Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Note

Cette automatisation nécessite au moins 10 % de l'espace disque disponible sur le volume racine Amazon Elastic Block Store (Amazon EBS) attaché à votre instance Amazon EC2. Si l'espace disque disponible sur le volume racine est insuffisant, l'automatisation s'arrête.

Exécuter cette automatisation (console)

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

Linux

Paramètres

  • AutomationAssumeRole

    Type : Chaîne

    Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

  • EKSInstanceID

    Type : Chaîne

    Description : ID (obligatoire) de l'instance Amazon EKS Amazon EC2 à partir de laquelle vous souhaitez collecter des journaux.

  • LogDestination

    Type : Chaîne

    Description : (Facultatif) Le compartiment Amazon Simple Storage Service (Amazon S3) de votre compte dans lequel télécharger les journaux archivés.

Autorisations IAM requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ssm:SendCommand

Autorisations IAM requises pour le profil d'instance Amazon EC2

Le profil d'instance utilisé par le EKSInstanceId doit être associé à la politique gérée par SSMManagedInstanceCoreAmazon.

Il doit également être en mesure d'accéder au compartiment LogDestination Amazon S3 afin de pouvoir télécharger les journaux collectés. Vous trouverez ci-dessous un exemple de politique IAM qui pourrait être attachée à ce profil d'instance :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetBucketPolicyStatus",
        "s3:GetBucketAcl"
      ],
      "Resource": [
        "arn:aws:s3:::LogDestination/*",
        "arn:aws:s3:::LogDestination"
      ]
    }
  ]
}

Si AWS KMS le chiffrement est LogDestination utilisé, une instruction supplémentaire doit être ajoutée à la politique IAM pour autoriser l'accès à la AWS KMS clé utilisée pour le chiffrement :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetBucketPolicyStatus",
        "s3:GetBucketAcl"
      ],
      "Resource": [
        "arn:aws:s3:::LogDestination/*",
        "arn:aws:s3:::LogDestination"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "arn:aws:kms:REGION:ACCOUNT:key/KMS-KEY-ID"
    }
  ]
}

Étapes de document

  • aws:assertAwsResourceProperty- Confirme que le système d'exploitation de la valeur spécifiée dans le EKSInstanceId paramètre est Linux.

  • aws:runCommand- Rassemble les fichiers journaux liés au système d'exploitation et à Amazon EKS, puis les compresse dans une archive dans le /var/log répertoire.

  • aws:branch- Confirme si une valeur a été spécifiée pour le LogDestination paramètre.

  • aws:runCommand- Télécharge l'archive du journal dans le compartiment Amazon S3 que vous spécifiez dans le LogDestination paramètre.