

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# `AWSSupport-TroubleshootECSTaskFailedToStart`
<a name="automation-aws-troubleshootecstaskfailedtostart"></a>

 **Description** 

 Le `AWSSupport-TroubleshootECSTaskFailedToStart` runbook vous aide à résoudre les problèmes liés à l'échec du démarrage d'une tâche Amazon Elastic Container Service (Amazon ECS) dans un cluster Amazon ECS. Vous devez exécuter ce runbook en même temps Région AWS que votre tâche qui n'a pas pu démarrer. Le runbook analyse les problèmes courants suivants qui peuvent empêcher le démarrage d'une tâche :
+ Connectivité réseau avec le registre de conteneurs configuré
+ Autorisations IAM manquantes requises par le rôle d'exécution de la tâche
+ Connectivité au point de terminaison de VPC
+ Configuration des règles de groupe de sécurité
+ AWS Secrets Manager références secrètes
+ Configuration de la journalisation

**Note**  
Si l'analyse détermine que la connectivité réseau doit être testée, une fonction Lambda et le rôle IAM requis sont créés dans votre compte. Ces ressources sont utilisées pour simuler la connectivité réseau de votre tâche ayant échoué. L'automatisation supprime ces ressources lorsqu'elles ne sont plus nécessaires. Toutefois, si l'automatisation ne parvient pas à supprimer les ressources, vous devez le faire manuellement.   
Lorsqu'un rôle Lambda IAM est fourni, l'automatisation l'utilise au lieu d'en créer un nouveau. Le rôle Lambda IAM fourni doit inclure la politique AWS gérée `AWSLambdaVPCAccessExecutionRole` et disposer d'une politique de confiance qui permet au principal du service Lambda de l'assumer. `lambda.amazonaws.com` 

 [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootECSTaskFailedToStart) 

**Type de document**

 Automatisation

**Propriétaire**

Amazon

**Plateformes**

LinuxmacOS, Windows

**Paramètres**
+ AutomationAssumeRole

  Type : Chaîne

  Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ LambdaRoleArn

  Type : Chaîne

  Description : (Facultatif) L'ARN du rôle IAM qui permet à la AWS Lambda fonction d'accéder aux AWS services et ressources requis. Si aucun rôle n'est spécifié, cette automatisation de Systems Manager créera un rôle IAM pour Lambda dans votre compte avec le `NetworkToolSSMRunbookExecution<ExecutionId>` nom qui inclut la politique gérée :. `AWSLambdaVPCAccessExecutionRole`
+ ClusterName

  Type : Chaîne

  Description : (Obligatoire) Nom du cluster Amazon ECS dans lequel la tâche n'a pas pu démarrer.
+ CloudwatchRetentionPeriod

  Type : Integer

  Description : (Facultatif) Période de conservation, en jours, des journaux des fonctions Lambda à stocker dans Amazon CloudWatch Logs. Cela n'est nécessaire que si l'analyse détermine que la connectivité réseau doit être testée.

  Valeurs valides : 1 \$1 3 \$1 5 \$1 7 \$1 14 \$1 30 \$1 60 \$1 90

  Valeur par défaut : 30
+ TaskId

  Type : Chaîne

  Description : (Obligatoire) L'ID de la tâche ayant échoué. Utilisez la dernière tâche ayant échoué.

**Autorisations IAM requises**

Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `cloudtrail:LookupEvents`
+ `ec2:DeleteNetworkInterface`
+ `ec2:DescribeDhcpOptions`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceAttribute`
+ `ec2:DescribeIamInstanceProfileAssociations`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcEndpoints`
+ `ec2:DescribeVpcs`
+ `ec2:DescribeVpcAttribute`
+ `elasticfilesystem:DescribeFileSystems`
+ `elasticfilesystem:DescribeMountTargets`
+ `elasticfilesystem:DescribeMountTargetSecurityGroups`
+ `elasticfilesystem:DescribeFileSystemPolicy`
+ `ecr:DescribeImages`
+ `ecr:GetRepositoryPolicy`
+ `ecs:DescribeContainerInstances`
+ `ecs:DescribeServices`
+ `ecs:DescribeTaskDefinition`
+ `ecs:DescribeTasks`
+ `iam:AttachRolePolicy`
+ `iam:CreateRole`
+ `iam:DeleteRole`
+ `iam:DetachRolePolicy`
+ `iam:GetInstanceProfile`
+ `iam:GetRole`
+ `iam:ListRoles`
+ `iam:ListUsers`
+ `iam:PassRole`
+ `iam:SimulateCustomPolicy`
+ `iam:SimulatePrincipalPolicy`
+ `kms:DescribeKey`
+ `lambda:CreateFunction`
+ `lambda:DeleteFunction`
+ `lambda:GetFunctionConfiguration`
+ `lambda:InvokeFunction`
+ `lambda:TagResource`
+ `logs:DescribeLogGroups`
+ `logs:PutRetentionPolicy`
+ `secretsmanager:DescribeSecret`
+ `ssm:DescribeParameters`
+ `sts:GetCallerIdentity`

Lorsqu'elle `LambdaRoleArn` est fournie, l'automatisation n'a pas besoin de créer le rôle et les autorisations suivantes peuvent être exclues :
+  `iam:CreateRole` 
+  `iam:DeleteRole` 
+  `iam:AttachRolePolicy` 
+  `iam:DetachRolePolicy` 

 **Étapes de document** 
+  `aws:executeScript`- Vérifie que l'utilisateur ou le rôle qui a lancé l'automatisation dispose des autorisations IAM requises. Si vous ne disposez pas des autorisations suffisantes pour utiliser ce runbook, les autorisations requises manquantes sont incluses dans le résultat de l'automatisation.
+ `aws:branch`- Branches selon que vous êtes autorisé ou non à effectuer toutes les actions requises pour le runbook.
+ `aws:executeScript`- Crée une fonction Lambda dans votre VPC si l'analyse détermine que la connectivité réseau doit être testée.
+ `aws:branch`- Branches basées sur les résultats de l'étape précédente.
+ `aws:executeScript`- Analyse les causes possibles de l'échec du démarrage de votre tâche.
+ `aws:executeScript`- Supprime les ressources créées par cette automatisation.
+ `aws:executeScript`- Formate la sortie de l'automatisation pour renvoyer les résultats de l'analyse à la console. Vous pouvez revoir l'analyse après cette étape avant que l'automatisation ne soit terminée.
+ `aws:branch`- Branches selon que la fonction Lambda et les ressources associées ont été créées et doivent être supprimées.
+ `aws:sleep`- Sort pendant 30 minutes afin que l'interface Elastic network de la fonction Lambda puisse être supprimée.
+ `aws:executeScript`- Supprime l'interface réseau de la fonction Lambda.
+ `aws:executeScript`- Formate la sortie de l'étape de suppression de l'interface réseau de la fonction Lambda.