

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# `AWSSupport-TroubleshootECSTaskFailedToStart`
<a name="automation-aws-troubleshootecstaskfailedtostart"></a>

 **Beschreibung** 

 Das `AWSSupport-TroubleshootECSTaskFailedToStart` Runbook hilft Ihnen bei der Fehlerbehebung, warum eine Amazon Elastic Container Service (Amazon ECS) -Aufgabe in einem Amazon ECS-Cluster nicht gestartet werden konnte. Sie müssen dieses Runbook genauso ausführen AWS-Region wie Ihre Aufgabe, die nicht gestartet werden konnte. Das Runbook analysiert die folgenden häufigen Probleme, die das Starten einer Aufgabe verhindern können:
+ Netzwerkkonnektivität zur konfigurierten Container-Registry
+ Fehlende IAM-Berechtigungen, die für die Aufgabenausführungsrolle erforderlich sind
+ Konnektivität des VPC-Endpunkts
+ Konfiguration der Sicherheitsgruppenregel
+ AWS Secrets Manager geheime Verweise
+ Protokollierungskonfiguration

**Anmerkung**  
Wenn die Analyse ergibt, dass die Netzwerkkonnektivität getestet werden muss, werden eine Lambda-Funktion und die erforderliche IAM-Rolle in Ihrem Konto erstellt. Diese Ressourcen werden verwendet, um die Netzwerkkonnektivität Ihrer fehlgeschlagenen Aufgabe zu simulieren. Die Automatisierung löscht diese Ressourcen, wenn sie nicht mehr benötigt werden. Wenn die Automatisierung die Ressourcen jedoch nicht löschen kann, müssen Sie dies manuell tun.   
Wenn eine Lambda-IAM-Rolle bereitgestellt wird, verwendet die Automatisierung sie, anstatt eine neue zu erstellen. Die bereitgestellte Lambda-IAM-Rolle muss die AWS verwaltete Richtlinie enthalten `AWSLambdaVPCAccessExecutionRole` und über eine Vertrauensrichtlinie verfügen, die es ermöglicht, dass sie vom Lambda-Serviceprinzipal übernommen wird. `lambda.amazonaws.com` 

 [Führen Sie diese Automatisierung aus (Konsole)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootECSTaskFailedToStart) 

**Art des Dokuments**

Automatisierung

**Eigentümer**

Amazon

**Plattformen**

Linux,macOS, Windows

**Parameter**
+ AutomationAssumeRole

  Typ: Zeichenfolge

  Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, mit der Systems Manager Automation die Aktionen in Ihrem Namen ausführen kann. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.
+ LambdaRoleArn

  Typ: Zeichenfolge

  Beschreibung: (Optional) Der ARN der IAM-Rolle, der der AWS Lambda Funktion den Zugriff auf die erforderlichen AWS Dienste und Ressourcen ermöglicht. Wenn keine Rolle angegeben ist, erstellt diese Systems Manager Manager-Automatisierung eine IAM-Rolle für Lambda in Ihrem Konto mit dem Namen`NetworkToolSSMRunbookExecution<ExecutionId>`, der die verwaltete Richtlinie enthält:. `AWSLambdaVPCAccessExecutionRole`
+ ClusterName

  Typ: Zeichenfolge

  Beschreibung: (Erforderlich) Der Name des Amazon ECS-Clusters, in dem die Aufgabe nicht gestartet werden konnte.
+ CloudwatchRetentionPeriod

  Typ: Ganzzahl

  Beschreibung: (Optional) Der Aufbewahrungszeitraum in Tagen, für die Lambda-Funktionsprotokolle, die in Amazon CloudWatch Logs gespeichert werden sollen. Dies ist nur erforderlich, wenn die Analyse ergibt, dass die Netzwerkkonnektivität getestet werden muss.

  Gültige Werte: 1 \$1 3 \$1 5 \$1 7 \$1 14 \$1 30 \$1 60 \$1 90

  Standard: 30
+ TaskId

  Typ: Zeichenfolge

  Beschreibung: (Erforderlich) Die ID der fehlgeschlagenen Aufgabe. Verwenden Sie die zuletzt fehlgeschlagene Aufgabe.

**Erforderliche IAM-Berechtigungen**

Der `AutomationAssumeRole` Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.
+ `cloudtrail:LookupEvents`
+ `ec2:DeleteNetworkInterface`
+ `ec2:DescribeDhcpOptions`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceAttribute`
+ `ec2:DescribeIamInstanceProfileAssociations`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcEndpoints`
+ `ec2:DescribeVpcs`
+ `ec2:DescribeVpcAttribute`
+ `elasticfilesystem:DescribeFileSystems`
+ `elasticfilesystem:DescribeMountTargets`
+ `elasticfilesystem:DescribeMountTargetSecurityGroups`
+ `elasticfilesystem:DescribeFileSystemPolicy`
+ `ecr:DescribeImages`
+ `ecr:GetRepositoryPolicy`
+ `ecs:DescribeContainerInstances`
+ `ecs:DescribeServices`
+ `ecs:DescribeTaskDefinition`
+ `ecs:DescribeTasks`
+ `iam:AttachRolePolicy`
+ `iam:CreateRole`
+ `iam:DeleteRole`
+ `iam:DetachRolePolicy`
+ `iam:GetInstanceProfile`
+ `iam:GetRole`
+ `iam:ListRoles`
+ `iam:ListUsers`
+ `iam:PassRole`
+ `iam:SimulateCustomPolicy`
+ `iam:SimulatePrincipalPolicy`
+ `kms:DescribeKey`
+ `lambda:CreateFunction`
+ `lambda:DeleteFunction`
+ `lambda:GetFunctionConfiguration`
+ `lambda:InvokeFunction`
+ `lambda:TagResource`
+ `logs:DescribeLogGroups`
+ `logs:PutRetentionPolicy`
+ `secretsmanager:DescribeSecret`
+ `ssm:DescribeParameters`
+ `sts:GetCallerIdentity`

Wenn `LambdaRoleArn` angegeben, muss die Automatisierung die Rolle nicht erstellen, und die folgenden Berechtigungen können ausgeschlossen werden:
+  `iam:CreateRole` 
+  `iam:DeleteRole` 
+  `iam:AttachRolePolicy` 
+  `iam:DetachRolePolicy` 

 **Dokumentschritte** 
+  `aws:executeScript`- Überprüft, ob der Benutzer oder die Rolle, der die Automatisierung gestartet hat, über die erforderlichen IAM-Berechtigungen verfügt. Wenn Sie nicht über ausreichende Berechtigungen verfügen, um dieses Runbook zu verwenden, sind die fehlenden erforderlichen Berechtigungen in der Ausgabe der Automatisierung enthalten.
+ `aws:branch`— Verzweigungen basieren darauf, ob Sie über Berechtigungen für alle erforderlichen Aktionen für das Runbook verfügen.
+ `aws:executeScript`- Erstellt eine Lambda-Funktion in Ihrer VPC, wenn die Analyse ergibt, dass die Netzwerkkonnektivität getestet werden muss.
+ `aws:branch`— Verzweigungen, die auf den Ergebnissen des vorherigen Schritts basieren.
+ `aws:executeScript`- Analysiert mögliche Ursachen dafür, dass Ihre Aufgabe nicht gestartet werden konnte.
+ `aws:executeScript`- Löscht Ressourcen, die durch diese Automatisierung erstellt wurden.
+ `aws:executeScript`- Formatiert die Ausgabe der Automatisierung so, dass die Ergebnisse der Analyse an die Konsole zurückgegeben werden. Sie können die Analyse nach diesem Schritt überprüfen, bevor die Automatisierung abgeschlossen ist.
+ `aws:branch`- Verzweigungen, die darauf basieren, ob die Lambda-Funktion und die zugehörigen Ressourcen erstellt wurden und gelöscht werden müssen.
+ `aws:sleep`- Schläft 30 Minuten lang, sodass die elastic network interface für die Lambda-Funktion gelöscht werden kann.
+ `aws:executeScript`- Löscht die Netzwerkschnittstelle der Lambda-Funktion.
+ `aws:executeScript`— Formatiert die Ausgabe des Schritts zum Löschen der Netzwerkschnittstelle der Lambda-Funktion.