AWSSupport-CollectEKSInstanceLogs - AWS Systems Manager Riferimento all'Automation Runbook

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSSupport-CollectEKSInstanceLogs

Descrizione

Il AWSSupport-CollectEKSInstanceLogs runbook raccoglie i file di log relativi al sistema operativo e ad Amazon Elastic Kubernetes Service (Amazon EKS) da un'istanza Amazon Elastic Compute Cloud (Amazon EC2) per aiutarti a risolvere i problemi più comuni. Mentre l'automazione raccoglie i file di log associati, vengono apportate modifiche alla struttura del file system, tra cui la creazione di directory temporanee, la copia dei file di log nelle directory temporanee e la compressione dei file di registro in un archivio. Questa attività può comportare un aumento CPUUtilization sull'istanza Amazon EC2. Per ulteriori informazioniCPUUtilization, consulta le metriche delle istanze nella Amazon CloudWatch User Guide.

Se specifichi un valore per il LogDestination parametro, l'automazione valuta lo stato della policy del bucket Amazon Simple Storage Service (Amazon S3) che hai specificato. Per contribuire alla sicurezza dei log raccolti dall'istanza Amazon EC2, se isPublic lo stato della policy è impostato true su o se la lista di controllo degli accessi (ACL) READ|WRITE concede le autorizzazioni al gruppo predefinito di All Users Amazon S3, i log non vengono caricati. Per ulteriori informazioni sui gruppi predefiniti di Amazon S3, consulta i gruppi predefiniti di Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service.

Nota

Questa automazione richiede almeno il 10% dello spazio su disco disponibile sul volume root Amazon Elastic Block Store (Amazon EBS) collegato all'istanza Amazon EC2. Se lo spazio su disco disponibile sul volume principale non è sufficiente, l'automazione si interrompe.

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

Linux

Parametri

  • AutomationAssumeRole

    Tipo: String

    Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

  • EKSInstanceId

    Tipo: String

    Descrizione: (obbligatorio) ID dell'istanza Amazon EKS Amazon EC2 da cui desideri raccogliere i log.

  • LogDestination

    Tipo: String

    Descrizione: (Facoltativo) Il bucket Amazon Simple Storage Service (Amazon S3) nel tuo account in cui caricare i log archiviati.

Autorizzazioni IAM richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ssm:SendCommand

Autorizzazioni IAM richieste per il profilo dell'istanza Amazon EC2

Al profilo di istanza utilizzato da EKSInstanceId deve essere associata la policy gestita di SSMManagedInstanceCoreAmazon Amazon.

Deve inoltre essere in grado di accedere al bucket LogDestination Amazon S3 in modo da poter caricare i log raccolti. Di seguito è riportato un esempio di policy IAM che potrebbe essere allegata a quel profilo di istanza:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetBucketPolicyStatus",
        "s3:GetBucketAcl"
      ],
      "Resource": [
        "arn:aws:s3:::LogDestination/*",
        "arn:aws:s3:::LogDestination"
      ]
    }
  ]
}

Se LogDestination utilizza AWS KMS la crittografia, è necessario aggiungere un'istruzione aggiuntiva alla policy IAM che consenta l'accesso alla AWS KMS chiave utilizzata nella crittografia:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetBucketPolicyStatus",
        "s3:GetBucketAcl"
      ],
      "Resource": [
        "arn:aws:s3:::LogDestination/*",
        "arn:aws:s3:::LogDestination"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "arn:aws:kms:REGION:ACCOUNT:key/KMS-KEY-ID"
    }
  ]
}

Fasi del documento

  • aws:assertAwsResourceProperty- Conferma che il sistema operativo del valore specificato nel EKSInstanceId parametro è Linux.

  • aws:runCommand- Raccoglie i file di log relativi al sistema operativo e ad Amazon EKS, comprimendoli in un archivio nella /var/log directory.

  • aws:branch- Conferma se è stato specificato un valore per il LogDestination parametro.

  • aws:runCommand- Carica l'archivio di log nel bucket Amazon S3 specificato nel parametro. LogDestination