Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Amazon VPC AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon Virtual Private Cloud. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json). **Topics** + [`AWS-CloseSecurityGroup`](close-security-group.md) + [`AWSSupport-ConfigureDNSQueryLogging`](automation-aws-configure-dns-query-logging.md) + [`AWSSupport-ConfigureTrafficMirroring`](automation-aws-configuretrafficmirroring.md) + [`AWSSupport-ConnectivityTroubleshooter`](automation-awssupport-connectivitytroubleshooter.md) + [`AWSSupport-TroubleshootVPN`](automation-aws-troubleshoot-vpn.md) + [`AWSConfigRemediation-DeleteEgressOnlyInternetGateway`](automation-aws-delete-egress-igw.md) + [`AWSConfigRemediation-DeleteUnusedENI`](automation-aws-delete-eni.md) + [`AWSConfigRemediation-DeleteUnusedSecurityGroup`](automation-aws-delete-ec2-security-group.md) + [`AWSConfigRemediation-DeleteUnusedVPCNetworkACL`](automation-aws-delete-vpc-nacl.md) + [`AWSConfigRemediation-DeleteVPCFlowLog`](automation-aws-delete-vpc-flow-log.md) + [`AWSConfigRemediation-DetachAndDeleteInternetGateway`](automation-aws-detach-delete-igw.md) + [`AWSConfigRemediation-DetachAndDeleteVirtualPrivateGateway`](automation-aws-detach-delete-vpg.md) + [`AWS-DisableIncomingSSHOnPort22`](disable-incoming-ssh.md) + [`AWS-DisablePublicAccessForSecurityGroup`](automation-aws-disablepublicaccessforsecuritygroup.md) + [`AWSConfigRemediation-DisableSubnetAutoAssignPublicIP`](automation-aws-disable-subnet-auto-public-ip.md) + [`AWSSupport-EnableVPCFlowLogs`](automation-aws-enable-vpc-flowlogs.md) + [`AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch`](automation-aws-enable-flow-logs-cw.md) + [`AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket`](automation-aws-enable-flow-logs-s3.md) + [`AWS-ReleaseElasticIP`](automation-aws-releaseelasticip.md) + [`AWS-RemoveNetworkACLUnrestrictedSSHRDP`](aws-remove-nacl-unrestricted-ssh-rdp.md) + [`AWSConfigRemediation-RemoveUnrestrictedSourceIngressRules`](automation-aws-remove-unrestricted-source-ingress.md) + [`AWSConfigRemediation-RemoveVPCDefaultSecurityGroupRules`](automation-aws-remove-default-secg-rules.md) + [`AWSSupport-SetupIPMonitoringFromVPC`](automation-awssupport-setupipmonitoringfromvpc.md) + [`AWSSupport-TerminateIPMonitoringFromVPC`](automation-awssupport-terminateipmonitoringfromvpc.md) # `AWS-CloseSecurityGroup` **Description** Ce runbook supprime toutes les règles d'entrée et de sortie du groupe de sécurité que vous spécifiez. [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CloseSecurityGroup) **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook. + SecurityGroupId Type : Chaîne Description : (Obligatoire) L'ID du groupe de sécurité que vous souhaitez fermer. **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. + `ec2:DescribeSecurityGroups` + `ec2:RevokeSecurityGroupEgress` + `ec2:RevokeSecurityGroupIngress` **Étapes de document** + `aws:executeScript`- Supprime toutes les règles d'entrée et de sortie du groupe de sécurité que vous spécifiez dans le `SecurityGroupId` paramètre. # `AWSSupport-ConfigureDNSQueryLogging` **Description** Le `AWSSupport-ConfigureDNSQueryLogging` runbook configure la journalisation des requêtes DNS provenant de votre cloud privé virtuel (VPC) ou des zones hébergées sur Amazon Route 53. Vous pouvez choisir de publier les journaux de requêtes sur Amazon CloudWatch Logs, Amazon Simple Storage Service (Amazon S3) ou Amazon Data Firehose. Pour plus d'informations sur la journalisation des requêtes et les journaux des requêtes du résolveur, consultez les sections Journalisation des [requêtes DNS publiques et Journalisation](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html) des [requêtes du résolveur](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html). [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ConfigureDNSQueryLogging) **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook. + LogDestinationArn Type : Chaîne Description : (Facultatif) L'ARN du groupe de CloudWatch journaux, du compartiment Amazon S3 ou du flux Firehose auquel vous souhaitez envoyer les journaux de requêtes. Notez que la journalisation des requêtes DNS publiques Route 53 ne prend en charge que les groupes de CloudWatch journaux. Si vous ne spécifiez aucune valeur pour ce paramètre, l'automatisation crée un groupe de CloudWatch journaux au format ` AWSSupport-ConfigureDNSQueryLogging-{automation: EXECUTION_ID } ` et une politique de ressources IAM pour publier les journaux de requêtes. Le groupe CloudWatch Logs créé par l'automatisation a une période de conservation de 14 jours. + QueryLogType Type : Chaîne Description : (Facultatif) Les types de requêtes que vous souhaitez enregistrer. Valeurs valides : Public \$1 Résolveur/Privé Par défaut : Public + ResourceId Type : Chaîne Description : (Obligatoire) L'ID de la ressource dont vous souhaitez enregistrer les requêtes. Si vous spécifiez `Public` le `QueryLogType` paramètre, la ressource doit être l'ID d'une zone hébergée privée Route 53. Si vous spécifiez `Resolver/Private` le `QueryLogType` paramètre, la ressource doit être l'ID d'un VPC. **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. + `ec2:DescribeVpcs` + `firehose:ListTagsForDeliveryStream` + `firehose:PutRecord` + `firehose:PutRecordBatch` + `firehose:TagDeliveryStream` + `iam:AttachRolePolicy` + `iam:CreatePolicy` + `iam:CreateRole` + `iam:CreateServiceLinkedRole` + `iam:DeletePolicy` + `iam:DeleteRole` + `iam:DeleteRolePolicy` + `iam:GetPolicy` + `iam:GetRole` + `iam:PassRole` + `iam:PutRolePolicy` + `iam:TagRole` + `iam:UpdateRole` + `logs:CreateLogDelivery` + `logs:CreateLogGroup` + `logs:DeleteLogDelivery` + `logs:DeleteLogGroup` + `logs:DescribeLogGroups` + `logs:DescribeLogStreams` + `logs:DescribeResourcePolicies` + `logs:ListLogDeliveries` + `logs:PutResourcePolicy` + `logs:PutRetentionPolicy` + `logs:UpdateLogDelivery` + `route53:CreateQueryLoggingConfig` + `route53:DeleteQueryLoggingConfig` + `route53:GetHostedZone` + `route53resolver:AssociateResolverQueryLogConfig` + `route53resolver:CreateResolverQueryLogConfig` + `route53resolver:DeleteResolverQueryLogConfig` + `s3:GetBucketAcl` **Étapes de document** + `aws:executeScript`- Vérifie que la ressource que vous spécifiez pour le `ResourceId` paramètre existe et vérifie si le type de ressource correspond à l'`QueryLogType`option requise. + `aws:executeScript`- Vérifie que la valeur que vous spécifiez pour le `LogDestinationArn` paramètre correspond à la valeur requise. `QueryLogType` + `aws:executeScript`- Vérifie les autorisations requises pour que Route 53 publie des journaux dans le groupe de CloudWatch journaux Logs et crée la politique de ressources IAM requise si elle n'existe pas. + `aws:executeScript`- Active l'enregistrement des requêtes DNS sur la destination sélectionnée. # `AWSSupport-ConfigureTrafficMirroring` **Description** Le `AWSSupport-ConfigureTrafficMirroring` runbook configure la mise en miroir du trafic pour vous aider à résoudre les problèmes de connectivité entre un équilibreur de charge et les instances Amazon Elastic Compute Cloud (Amazon EC2). La mise en miroir du trafic copie le trafic entrant et sortant depuis les interfaces réseau associées à vos instances. Pour configurer la mise en miroir du trafic, ce runbook crée les cibles, les filtres et les sessions requis. Par défaut, le runbook configure la mise en miroir de tout le trafic entrant et sortant pour tous les protocoles, à l'exception d'Amazon DNS. Si vous souhaitez refléter le trafic provenant de sources et de destinations spécifiques, vous pouvez modifier les règles entrantes et sortantes une fois l'automatisation terminée. [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ConfigureTrafficMirroring) **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. + Source ENI Type : Chaîne Description : (Obligatoire) L'interface Elastic network pour laquelle vous souhaitez configurer la mise en miroir du trafic. + Cible Type : Chaîne Description : (Obligatoire) Destination du trafic reflété. Vous devez spécifier l'ID d'une interface réseau, d'un Network Load Balancer ou d'un point de terminaison Gateway Load Balancer. Si vous spécifiez un Network Load Balancer, il doit y avoir des écouteurs UDP sur le port 4789. + SessionNumber Type : Chaîne Valeurs valides : 1-32766 Description : (Obligatoire) Numéro de la session miroir que vous souhaitez utiliser. **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. + `ec2:CreateTrafficMirrorTarget` + `ec2:CreateTrafficMirrorFilter` + `ec2:CreateTrafficMirrorFilterRule` + `ec2:CreateTrafficMirrorSession` + `ec2:DeleteTrafficMirrorSession` + `ec2:DeleteTrafficMirrorFilter` + `ec2:DeleteTrafficMirrorSession` + `ec2:DeleteTrafficMirrorFilterRule` + `iam:ListRoles` + `ssm:GetAutomationExecution` + `ssm:StartAutomationExecution` **Étapes de document** + `aws:executeScript`- Exécute un script pour créer une cible. + `aws:executeAwsApi`- Crée une règle de filtrage. + `aws:executeAwsApi`- Crée une règle de filtre miroir pour tout le trafic entrant. + `aws:executeAwsApi`- Crée une règle de filtre miroir pour tout le trafic sortant. + `aws:executeAwsApi`- Crée une session de miroir du trafic. + `aws:executeAwsApi`- Supprime le filtre en cas d'échec de la création du filtre ou de la session. + `aws:executeAwsApi`- Supprime la cible en cas d'échec de la création du filtre ou de la session. **Sorties** CreateFilter.FilterId CreateSession.SessionId CreateTarget.Cible IDOutput # `AWSSupport-ConnectivityTroubleshooter` **Description** Le `AWSSupport-ConnectivityTroubleshooter` runbook diagnostique les problèmes de connectivité entre les éléments suivants : + AWS ressources au sein d'un Amazon Virtual Private Cloud (Amazon VPC) + AWS ressources situées dans différents Amazon VPCs au sein d'un même Région AWS Amazon et connectées à l'aide du peering VPC + AWS ressources d'un Amazon VPC et d'une ressource Internet à l'aide d'une passerelle Internet + AWS ressources d'un Amazon VPC et d'une ressource Internet utilisant une passerelle de traduction d'adresses réseau (NAT) [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ConnectivityTroubleshooter) **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook. + IP de destination Type : Chaîne Description : (Obligatoire) IPv4 Adresse de la ressource à laquelle vous souhaitez vous connecter. + DestinationPort Type : Chaîne Valeur par défaut : true Description : (Obligatoire) Le numéro de port auquel vous souhaitez vous connecter sur la ressource de destination. + DestinationVpc Type : Chaîne Par défaut : Tous Description : (Facultatif) L'ID du VPC Amazon auquel vous souhaitez tester la connectivité. + SourceIP Type : Chaîne Description : (Obligatoire) IPv4 Adresse privée de la AWS ressource de votre Amazon VPC à partir de laquelle vous souhaitez tester la connectivité. + SourcePortRange Type : Chaîne Description : (Facultatif) La plage de ports utilisée par la AWS ressource de votre Amazon VPC à partir de laquelle vous souhaitez tester la connectivité. + SourceVpc Type : Chaîne Par défaut : Tous Description : (Facultatif) L'ID du VPC Amazon à partir duquel vous souhaitez tester la connectivité. **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. + `ec2:DescribeNatGateways` + `ec2:DescribeNetworkAcls` + `ec2:DescribeNetworkInterfaces` + `ec2:DescribeRouteTables` + `ec2:DescribeSecurityGroups` + `ec2:DescribeVpcPeeringConnections` **Étapes de document** + `aws:executeScript`- Rassemble des informations sur la AWS ressource que vous spécifiez dans le `SourceIP` paramètre. + `aws:executeScript`- Détermine la destination du trafic réseau provenant de la AWS ressource en utilisant les itinéraires collectés à l'étape précédente. + `aws:branch`- Branches basées sur la destination du trafic réseau. + `aws:executeAwsApi`- Recueille des informations sur la ressource de destination. + `aws:executeScript`- Confirme que l'ID renvoyé pour le VPC Amazon de destination correspond à la valeur spécifiée, le cas échéant, dans le `DestinationVpc` paramètre. + `aws:executeAwsApi`- Rassemble les règles du groupe de sécurité pour les ressources source et de destination. + `aws:executeScript`- Confirme si les règles du groupe de sécurité autorisent le trafic nécessaire entre les ressources source et de destination. + `aws:executeAwsApi`- Rassemble les listes de contrôle d'accès réseau (NACLs) associées aux sous-réseaux pour les ressources source et de destination. + `aws:executeScript`- Confirme s'ils NACLs autorisent le trafic nécessaire entre les ressources source et de destination. + `aws:executeScript`- Confirme si la source possède une adresse IP publique associée à la ressource, si la destination de la route est une passerelle Internet. + `aws:executeAwsApi`- Rassemble les règles du groupe de sécurité pour la ressource source. + `aws:executeScript`- Confirme si les règles du groupe de sécurité autorisent le trafic nécessaire entre la source et la ressource de destination. + `aws:executeAwsApi`- Rassemble les informations NACLs associées au sous-réseau pour la ressource source. + `aws:executeScript`- Confirme s'ils NACLs autorisent le trafic nécessaire à partir de la ressource source. + `aws:executeAwsApi`- Recueille des informations sur la passerelle NAT. + `aws:executeAwsApi`- Rassemble les informations NACLs associées au sous-réseau pour la passerelle NAT. + `aws:executeScript`- Confirme si le NACLs trafic nécessaire est autorisé depuis le sous-réseau pour la passerelle NAT. + `aws:executeScript`- Rassemble les routes associées au sous-réseau pour la passerelle NAT. + `aws:executeScript`- Confirme si la passerelle NAT possède une route vers une passerelle Internet. + `aws:executeAwsApi`- Recueille des informations sur la connexion d'appairage VPC. + `aws:executeScript`- Confirme que les deux VPCs se trouvent dans la même région et que l'ID renvoyé pour le VPC de destination correspond à la valeur spécifiée, le cas échéant, dans le `DestinationVpc` paramètre. + `aws:executeAwsApi`- Renvoie le sous-réseau de la ressource de destination. + `aws:executeScript`- Regroupe les routes associées au sous-réseau pour le VPC homologue. + `aws:executeScript`- Confirme si le VPC apparenté possède une route vers la connexion d'appairage. + `aws:executeScript`- Confirme si le trafic est autorisé depuis la ressource source si la destination n'est pas prise en charge par l'automatisation. # `AWSSupport-TroubleshootVPN` **Description** Le `AWSSupport-TroubleshootVPN` runbook vous aide à suivre et à résoudre les erreurs dans une AWS Site-to-Site VPN connexion. L'automatisation comprend plusieurs contrôles automatisés conçus pour détecter les `IKEv1` `IKEv2` erreurs liées aux tunnels de AWS Site-to-Site VPN connexion. L'automatisation essaie de faire correspondre des erreurs spécifiques et la résolution correspondante forme une liste de problèmes courants. **Remarque :** Cette automatisation ne corrige pas les erreurs. Il s'exécute pendant la période mentionnée et analyse le groupe de journaux à la recherche d'erreurs dans le [groupe de CloudWatch journaux VPN](https://docs.aws.amazon.com//vpn/latest/s2svpn/log-contents.html). **Fonctionnement** Le runbook exécute une validation des paramètres pour confirmer si le groupe de CloudWatch journaux Amazon inclus dans le paramètre d'entrée existe, si le groupe de journaux contient des flux de journaux correspondant à la journalisation du tunnel VPN, si l'identifiant de connexion VPN existe et si l'adresse IP du tunnel existe. Il effectue des appels d'API Logs Insights sur votre groupe de CloudWatch journaux qui sont configurés pour la journalisation VPN. **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook. + LogGroupName Type : Chaîne Description : (Obligatoire) Le nom du groupe de CloudWatch journaux Amazon configuré pour la journalisation des AWS Site-to-Site VPN connexions Modèle autorisé : `^[\.\-_/#A-Za-z0-9]{1,512}` + VpnConnectionId Type : Chaîne Description : (Obligatoire) L'identifiant de AWS Site-to-Site VPN connexion à résoudre. Modèle autorisé : `^vpn-[0-9a-f]{8,17}$` + Tunnel AIPAddress Type : Chaîne Description : (Obligatoire) L' IPv4 adresse du tunnel numéro 1 associée à votre AWS Site-to-Site VPN. Modèle autorisé : `^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}$` + Tunnel BIPAddress Type : Chaîne Description : (Facultatif) L' IPv4 adresse du tunnel numéro 2 associée à votre AWS Site-to-Site VPN. Modèle autorisé : `^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}|^$` + IKEVersion Type : Chaîne Description : (Obligatoire) Sélectionnez la version IKE que vous utilisez. Valeurs autorisées : IKEv1, IKEv2 Valeurs valides : `['IKEv1', 'IKEv2']` + StartTimeinEpoch Type : Chaîne Description : (Facultatif) Heure de début de l'analyse du journal. Vous pouvez utiliser StartTimeinEpoch/EndTimeinEpoch ou LookBackPeriod pour l'analyse des journaux Modèle autorisé : `^\d{10}|^$` + EndTimeinEpoch Type : Chaîne Description : (Facultatif) Heure de fin de l'analyse du journal. Vous pouvez utiliser StartTimeinEpoch/EndTimeinEpoch ou LookBackPeriod pour l'analyse des journaux. Si les deux sont donnés StartTimeinEpoch/EndTimeinEpoch , la priorité LookBackPeriod est LookBackPeriod alors Modèle autorisé : `^\d{10}|^$` + LookBackPeriod Type : Chaîne Description : (Facultatif) Durée à deux chiffres en heures de consultation rétrospective pour l'analyse du journal. Plage valide : 01 - 99. Cette valeur est prioritaire si vous indiquez StartTimeinEpoch également et EndTime Modèle autorisé : `^(\d?[1-9]|[1-9]0)|^$` **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. + `logs:DescribeLogGroups` + `logs:GetQueryResults` + `logs:DescribeLogStreams` + `logs:StartQuery` + `ec2:DescribeVpnConnections` **Instructions** **Remarque :** Cette automatisation fonctionne sur les groupes de CloudWatch journaux configurés pour la journalisation de votre tunnel VPN, lorsque le format de sortie de journalisation est JSON. Pour configurer l'automatisation, procédez comme suit : 1. Accédez au [AWSSupport-TroubleshootVPN](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootVPN/description)dans la AWS Systems Manager console. 1. Pour les paramètres d'entrée, entrez ce qui suit : + **AutomationAssumeRole (Facultatif) :** Amazon Resource Name (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook. + **LogGroupName (Obligatoire) :** Le nom du groupe de CloudWatch journaux Amazon à valider. Il doit s'agir du groupe de CloudWatch journaux configuré pour que le VPN envoie des journaux. + **VpnConnectionId (Obligatoire) :** L'identifiant de AWS Site-to-Site VPN connexion dont le groupe de journaux est tracé pour détecter une erreur VPN. + **Tunnel AIPAddress (obligatoire) :** Le tunnel Une adresse IP associée à votre AWS Site-to-Site VPN connexion. + **Tunnel BIPAddress (facultatif) :** Adresse IP du tunnel B associée à votre AWS Site-to-Site VPN connexion. + **IKEVersion (Obligatoire) :** Sélectionnez ce IKEversion que vous utilisez. Valeurs autorisées : IKEv1, IKEv2. + **StartTimeinEpoch (Facultatif) :** Début de la plage de temps pour laquelle une erreur doit être demandée. La plage étant inclusive, l'heure de début spécifiée est incluse dans la requête. Spécifié comme heure de l'époque, le nombre de secondes écoulées depuis le 1er janvier 1970, 00:00:00 UTC. + **EndTimeinEpoch (Facultatif) :** Fin de l'intervalle de temps pour rechercher des erreurs. La plage étant inclusive, l'heure de fin spécifiée est incluse dans la requête. Spécifié comme heure de l'époque, le nombre de secondes écoulées depuis le 1er janvier 1970, 00:00:00 UTC. + **LookBackPeriod (Obligatoire) :** Temps, en heures, nécessaire pour revenir sur la requête afin de détecter une erreur. **Remarque :** Configurez un StartTimeinEpoch EndTimeinEpoch, ou LookBackPeriod pour fixer la plage de temps pour l'analyse des journaux. Donnez un nombre à deux chiffres en heures pour vérifier les erreurs passées depuis le début de l'automatisation. Ou, si l'erreur s'est produite dans le passé dans un intervalle de temps spécifique, incluez StartTimeinEpoch et EndTimeinEpoch, au lieu de LookBackPeriod. ![\[Input parameters form for AWS Site-to-Site VPN connection validation and log analysis.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-vpn_input_parameters.png) 1. Sélectionnez **Exécuter**. 1. L'automatisation démarre. 1. Le runbook d'automatisation exécute les étapes suivantes : + **Validation des paramètres :** Exécute une série de validations sur les paramètres d'entrée inclus dans l'automatisation. + **branchOnValidationOfLogGroup:** Vérifie si le groupe de logs mentionné dans le paramètre est valide. S'il n'est pas valide, il arrête le lancement ultérieur des étapes d'automatisation. + **branchOnValidationOfLogStream:** Vérifie si le flux de journaux existe dans le groupe de CloudWatch journaux inclus. S'il n'est pas valide, il arrête le lancement ultérieur des étapes d'automatisation. + **branchOnValidationOfVpnConnectionId:** Vérifie si l'identifiant de connexion VPN inclus dans le paramètre est valide. S'il n'est pas valide, il arrête le lancement ultérieur des étapes d'automatisation. + **branchOnValidationOfVpnIp:** Vérifie si l'adresse IP du tunnel mentionnée dans le paramètre est valide ou non. S'il n'est pas valide, il arrête l'exécution ultérieure des étapes d'automatisation. + **Erreur de traçage :** Effectue un appel à l'API Logs Insight dans le groupe de CloudWatch journaux inclus et recherche l'erreur liée à IKEv1/IKEv2 ainsi qu'une solution suggérée associée. 1. Une fois terminé, consultez la section Sorties pour connaître les résultats détaillés de l'exécution. ![\[Output section showing parameter validation results and error messages for VPN tunnels.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-vpn_outputs.png) **Références** Systems Manager Automation + [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-DDoSResiliencyAssessment) + [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html) + [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html) + [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/) AWS documentation de service + [Contenu des journaux Site-to-Site VPN](https://docs.aws.amazon.com//vpn/latest/s2svpn/log-contents.html) # `AWSConfigRemediation-DeleteEgressOnlyInternetGateway` **Description** Le `AWSConfigRemediation-DeleteEgressOnlyInternetGateway` runbook supprime la passerelle Internet de sortie uniquement que vous spécifiez. [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteEgressOnlyInternetGateway) **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. + EgressOnlyInternetGatewayId Type : Chaîne Description : (Obligatoire) L'ID de la passerelle Internet de sortie uniquement que vous souhaitez supprimer. **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. + `ssm:StartAutomationExecution` + `ssm:GetAutomationExecution` + `ec2:DeleteEgressOnlyInternetGateway` + `ec2:DescribeEgressOnlyInternetGateways` **Étapes de document** + `aws:executeScript`- Supprime la passerelle Internet de sortie uniquement spécifiée dans le paramètre. `EgressOnlyInternetGatewayId` + `aws:executeScript`- Vérifie que la passerelle Internet de sortie uniquement a été supprimée. # `AWSConfigRemediation-DeleteUnusedENI` **Description** Le `AWSConfigRemediation-DeleteUnusedENI` runbook supprime une Elastic Network Interface (ENI) dont le statut de pièce jointe est de. `detached` [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteUnusedENI) **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. + NetworkInterfaceId Type : Chaîne Description : (Obligatoire) L'ID de l'ENI que vous souhaitez supprimer. **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. + `ssm:StartAutomationExecution` + `ssm:GetAutomationExecution` + `ec2:DeleteNetworkInterface` + `ec2:DescribeNetworkInterfaces ` **Étapes de document** + `aws:executeAwsApi`- Supprime l'ENI que vous spécifiez dans le `NetworkInterfaceId` paramètre. + `aws:executeScript`- Vérifie que l'ENI a été supprimée. # `AWSConfigRemediation-DeleteUnusedSecurityGroup` **Description** Le `AWSConfigRemediation-DeleteUnusedSecurityGroup` runbook supprime le groupe de sécurité que vous spécifiez dans le `GroupId` paramètre. Si vous tentez de supprimer un groupe de sécurité associé à une instance Amazon Elastic Compute Cloud (Amazon EC2) ou référencé par un autre groupe de sécurité, l'automatisation échoue. Cette automatisation ne supprime pas de groupe de sécurité par défaut. [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteUnusedSecurityGroup) **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. + GroupId Type : Chaîne Description : (Obligatoire) L'ID du groupe de sécurité que vous souhaitez supprimer. **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. + `ssm:StartAutomationExecution` + `ssm:GetAutomationExecution` + `ec2:DescribeSecurityGroups` + `ec2:DeleteSecurityGroup` **Étapes de document** + `aws:executeAwsApi`- Renvoie le nom du groupe de sécurité en utilisant la valeur que vous indiquez dans le `GroupId` paramètre. + `aws:branch`- Confirme que le nom du groupe n'est pas « par défaut ». + `aws:executeAwsApi`- Supprime le groupe de sécurité spécifié dans le `GroupId` paramètre. + `aws:executeScript`- Confirme que le groupe de sécurité a été supprimé. # `AWSConfigRemediation-DeleteUnusedVPCNetworkACL` **Description** Le `AWSConfigRemediation-DeleteUnusedVPCNetworkACL` runbook supprime une liste de contrôle d'accès réseau (ACL) qui n'est pas associée à un sous-réseau. [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteUnusedVPCNetworkACL) **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. + NetworkAclId Type : Chaîne Description : (Obligatoire) L'ID de l'ACL réseau que vous souhaitez supprimer. **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. + `ssm:StartAutomationExecution` + `ssm:GetAutomationExecution` + `ec2:DeleteNetworkAcl` + `ec2:DescribeNetworkAcls` **Étapes de document** + `aws:executeAwsApi`- Supprime l'ACL réseau spécifiée dans le `NetworkAclId` paramètre. + `aws:executeScript`- Confirme que l'ACL réseau spécifiée dans le `NetworkAclId` paramètre a été supprimée. # `AWSConfigRemediation-DeleteVPCFlowLog` **Description** Le `AWSConfigRemediation-DeleteVPCFlowLog` runbook supprime le journal de flux du cloud privé virtuel (VPC) que vous spécifiez. [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteVPCFlowLog) **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. + FlowLogId Type : Chaîne Description : (Obligatoire) L'ID du journal de flux que vous souhaitez supprimer. **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. + `ssm:StartAutomationExecution` + `ssm:GetAutomationExecution` + `ec2:DeleteFlowLogs` + `ec2:DescribeFlowLogs` **Étapes de document** + `aws:executeAwsApi`- Supprime le journal de flux que vous spécifiez dans le `FlowLogId` paramètre. + `aws:executeScript`- Vérifie que le journal de flux a été supprimé. # `AWSConfigRemediation-DetachAndDeleteInternetGateway` **Description** Le `AWSConfigRemediation-DetachAndDeleteInternetGateway` runbook détache et supprime la passerelle Internet que vous spécifiez. Si des adresses IP élastiques ou publiques IPv4 sont associées à des instances Amazon EC2 de votre cloud privé virtuel (VPC), le runbook échoue. [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DetachAndDeleteInternetGateway) **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. + InternetGatewayId Type : Chaîne Description : (Obligatoire) L'ID de la passerelle Internet que vous souhaitez supprimer. **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. + `ssm:StartAutomationExecution` + `ssm:GetAutomationExecution` + `ec2:DeleteInternetGateway` + `ec2:DescribeInternetGateways` + `ec2:DetachInternetGateway` **Étapes de document** + `aws:waitForAwsResourceProperty`- Accepte l'ID de la passerelle privée virtuelle et attend que la propriété d'état de la passerelle privée virtuelle `available` soit modifiée ou expire. + `aws:executeAwsApi`- Récupère une configuration de passerelle privée virtuelle spécifiée. + `aws:branch`- Branches basées sur la valeur du paramètre VpcAttachments .state. + `aws:waitForAwsResourceProperty`- Accepte l'ID de la passerelle privée virtuelle et attend que la propriété VpcAttachments .state de la passerelle privée virtuelle soit modifiée `attached` ou expire. + `aws:executeAwsApi`- Accepte l'ID de la passerelle privée virtuelle et l'ID de l'Amazon VPC en entrée, et détache la passerelle privée virtuelle de l'Amazon VPC. + `aws:waitForAwsResourceProperty`- Accepte l'ID de la passerelle privée virtuelle et attend que la propriété VpcAttachments .state de la passerelle privée virtuelle soit modifiée `detached` ou expire. + `aws:executeAwsApi`- Accepte l'ID de la passerelle privée virtuelle en entrée et le supprime. + `aws:waitForAwsResourceProperty`- Accepte l'ID de la passerelle privée virtuelle en entrée et vérifie sa suppression. `aws:executeAwsApi`- Recueille l'ID VPC à partir de l'ID de passerelle Internet. + `aws:executeAwsApi`- Détache l'ID de passerelle Internet du VPC. + `aws:executeAwsApi`- Supprime la passerelle Internet. # `AWSConfigRemediation-DetachAndDeleteVirtualPrivateGateway` **Description** Le `AWSConfigRemediation-DetachAndDeleteVirtualPrivateGateway` runbook détache et supprime une passerelle privée virtuelle Amazon Elastic Compute Cloud (Amazon EC2) donnée attachée à un cloud privé virtuel (VPC) créé avec Amazon Virtual Private Cloud (Amazon VPC). [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DetachAndDeleteVirtualPrivateGateway) **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. + VpnGatewayId Type : Chaîne Description : (Obligatoire) L'ID de la passerelle privée virtuelle à supprimer. **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. + `ssm:StartAutomationExecution` + `ssm:GetAutomationExecution` + `ec2:DeleteVpnGateway` + `ec2:DetachVpnGateway` + `ec2:DescribeVpnGateways` **Étapes de document** + `aws:waitForAwsResourceProperty`- Accepte l'ID de la passerelle privée virtuelle et attend que la propriété d'état de la passerelle privée virtuelle `available` soit modifiée ou expire. + `aws:executeAwsApi`- Récupère une configuration de passerelle privée virtuelle spécifiée. + `aws:branch`- Branches basées sur la valeur du paramètre VpcAttachments .state. + `aws:waitForAwsResourceProperty`- Accepte l'ID de la passerelle privée virtuelle et attend que la propriété VpcAttachments .state de la passerelle privée virtuelle soit modifiée `attached` ou expire. + `aws:executeAwsApi`- Accepte l'ID de la passerelle privée virtuelle et l'ID de l'Amazon VPC en entrée, et détache la passerelle privée virtuelle de l'Amazon VPC. + `aws:waitForAwsResourceProperty`- Accepte l'ID de la passerelle privée virtuelle et attend que la propriété VpcAttachments .state de la passerelle privée virtuelle soit modifiée `detached` ou expire. + `aws:executeAwsApi`- Accepte l'ID de la passerelle privée virtuelle en entrée et le supprime. + `aws:waitForAwsResourceProperty`- Accepte l'ID de la passerelle privée virtuelle en entrée et vérifie sa suppression. # `AWS-DisableIncomingSSHOnPort22` **Description** Le `AWS-DisableIncomingSSHOnPort22` runbook supprime les règles qui autorisent le trafic SSH entrant illimité sur le port TCP 22 pour les groupes de sécurité. [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-DisableIncomingSSHOnPort22) **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook. + SecurityGroupIds Type : Chaîne Description : (Obligatoire) Liste séparée par des virgules des groupes IDs de sécurité pour lesquels vous souhaitez restreindre le trafic SSH. **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. + `ec2:DescribeSecurityGroups` + `ec2:RevokeSecurityGroupIngress` **Étapes de document** + `aws:executeAwsApi`- Supprime toutes les règles autorisant le trafic SSH entrant sur le port TCP 22 à partir des groupes de sécurité que vous spécifiez dans le `SecurityGroupIds` paramètre. **Sorties** DisableIncomingSSHTemplate. RestrictedSecurityGroupIds - Une liste des groupes IDs de sécurité dont les règles SSH entrantes ont été supprimées. # `AWS-DisablePublicAccessForSecurityGroup` **Description** Ce runbook désactive les ports SSH et RDP par défaut ouverts à toutes les adresses IP. **Important** Ce runbook échoue avec un « »InvalidPermission. NotFound« erreur pour les groupes de sécurité qui répondent aux deux critères suivants : 1) Le groupe de sécurité est situé dans un VPC autre que celui par défaut ; et 2) Les règles entrantes du groupe de sécurité ne spécifient pas les ports ouverts selon les quatre modèles suivants : `0.0.0.0/0` `::/0` `SSH or RDP port + 0.0.0.0/0` `SSH or RDP port + ::/0` **Note** Ce runbook n'est pas disponible Régions AWS en Chine. [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-DisablePublicAccessForSecurityGroup) **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook. + GroupId Type : Chaîne Description : (Obligatoire) ID du groupe de sécurité pour lequel les ports doivent être désactivés. + IpAddressToBlock Type : Chaîne Description : (Facultatif) IPv4 Adresses supplémentaires à partir desquelles l'accès doit être bloqué, au format`1.2.3.4/32`. # `AWSConfigRemediation-DisableSubnetAutoAssignPublicIP` **Description** Le `AWSConfigRemediation-DisableSubnetAutoAssignPublicIP` runbook désactive l'attribut d'adressage IPv4 public pour le sous-réseau que vous spécifiez. [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DisableSubnetAutoAssignPublicIP) **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. + SubnetId Type : Chaîne Description : (Obligatoire) L'ID du sous-réseau sur lequel vous souhaitez désactiver l'attribut d' IPv4 adresse publique d'attribution automatique. **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. + `ssm:StartAutomationExecution` + `ssm:GetAutomationExecution` + `ec2:DescribeSubnets` + `ec2:ModifySubnetAttribute` **Étapes de document** + `aws:executeAwsApi`- Désactive l'attribut d' IPv4adresse publique d'attribution automatique pour le sous-réseau que vous avez spécifié dans le paramètre. `SubnetId` + `aws:assertAwsResourceProperty`- Vérifie que l'attribut a été désactivé. # `AWSSupport-EnableVPCFlowLogs` **Description** Le `AWSSupport-EnableVPCFlowLogs ` runbook crée des journaux de flux Amazon Virtual Private Cloud (Amazon VPC) pour les sous-réseaux, les interfaces réseau et dans votre. VPCs Compte AWS Si vous créez un journal de flux pour un sous-réseau ou un VPC, chaque interface réseau élastique de ce sous-réseau ou d'Amazon VPC est surveillée. Les données des journaux de flux sont publiées dans le groupe de CloudWatch journaux Amazon Logs ou dans le compartiment Amazon Simple Storage Service (Amazon S3) que vous spécifiez. Pour plus d'informations sur les journaux de flux, consultez la section [Journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) dans le guide de l'*utilisateur Amazon VPC*. **Important** Les frais d'ingestion de données et d'archivage pour les journaux vendus s'appliquent lorsque vous publiez des journaux de flux sur CloudWatch Logs ou sur Amazon S3. Pour plus d'informations, consultez la section [Tarification de Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-pricing) [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-EnableVPCFlowLogs) **Note** Lors de la sélection `s3` comme destination du journal, assurez-vous que la politique du compartiment autorise le service de livraison des journaux à accéder au compartiment. Pour plus d'informations, consultez la section [Autorisations du compartiment Amazon S3 pour les journaux de flux](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-s3.html#flow-logs-s3-permissions). **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook. + DeliverLogsPermissionArn Type : Chaîne Description : (Facultatif) L'ARN du rôle IAM qui permet à Amazon Elastic Compute Cloud (Amazon EC2) de publier des journaux de flux dans le groupe de journaux Logs de votre CloudWatch compte. Si vous spécifiez `s3` le `LogDestinationType` paramètre, ne fournissez pas de valeur pour ce paramètre. Pour plus d'informations, consultez [Publier des journaux de flux dans des CloudWatch journaux](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-cwl.html) dans le guide de l'*utilisateur Amazon VPC*. + LogDestinationARN Type : Chaîne Description : (Facultatif) L'ARN de la ressource sur laquelle les données du journal de flux sont publiées. Si le `LogDestinationType` paramètre `cloud-watch-logs` est spécifié, indiquez l'ARN du groupe de CloudWatch journaux de journaux dans lequel vous souhaitez publier les données des journaux de flux. Vous pouvez également utiliser `LogGroupName` à la place. Si le `LogDestinationType` paramètre `s3` est spécifié, vous devez spécifier l'ARN du compartiment Amazon S3 dans lequel vous souhaitez publier les données du journal de flux pour ce paramètre. Vous pouvez également spécifier un dossier dans le compartiment. **Important** Lorsque `LogDestinationType` vous le choisissez`s3`, vous devez vous assurer que le compartiment sélectionné respecte les [meilleures pratiques en matière de sécurité des compartiments Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) et que vous respectez les lois sur la confidentialité des données applicables à votre organisation et à votre région géographique. + LogDestinationType Type : Chaîne Valeurs valides : cloud-watch-logs \$1 s3 Description : (Obligatoire) Détermine où les données du journal de flux sont publiées. Si vous spécifiez `LogDestinationType` comme`s3`, ne spécifiez pas `DeliverLogsPermissionArn` ou`LogGroupName`. + LogFormat Type : Chaîne Description : (Facultatif) Les champs à inclure dans le journal de flux et l'ordre dans lequel ils doivent apparaître dans l'enregistrement. Pour obtenir la liste des champs disponibles, consultez la section [Enregistrements du journal de flux](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-log-records) dans le guide de l'*utilisateur Amazon VPC*. Si vous ne fournissez aucune valeur pour ce paramètre, le journal de flux est créé selon le format par défaut. Si vous spécifiez ce paramètre, vous devez spécifier au moins un champ. + LogGroupName Type : Chaîne Description : (Facultatif) Nom du groupe de CloudWatch journaux dans lequel les données des journaux de flux sont publiées. Si vous spécifiez `s3` le `LogDestinationType` paramètre, ne fournissez pas de valeur pour ce paramètre. + ResourceIds Type : StringList Description : (Obligatoire) Liste séparée par des virgules IDs des sous-réseaux, interfaces réseau élastiques ou VPC pour lesquels vous souhaitez créer un journal de flux. + TrafficType Type : Chaîne Valeurs valides : ACCEPTER \$1 REJETER \$1 TOUT Description : (Obligatoire) Type de trafic à enregistrer. Vous pouvez consigner le trafic que la ressource accepte ou rejette, ou tout le trafic. **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. + `ssm:StartAutomationExecution` + `ssm:GetAutomationExecution` + `ec2:CreateFlowLogs` + `ec2:DeleteFlowLogs` + `ec2:DescribeFlowLogs` + `iam:AttachRolePolicy` + `iam:CreateRole` + `iam:CreatePolicy` + `iam:DeletePolicy` + `iam:DeleteRole` + `iam:DeleteRolePolicy` + `iam:GetPolicy` + `iam:GetRole` + `iam:TagRole` + `iam:PassRole` + `iam:PutRolePolicy` + `iam:UpdateRole` + `logs:CreateLogDelivery` + `logs:CreateLogGroup` + `logs:DeleteLogDelivery` + `logs:DeleteLogGroup` + `logs:DescribeLogGroups` + `logs:DescribeLogStreams` + `s3:GetBucketLocation` + `s3:GetBucketAcl` + `s3:GetBucketPublicAccessBlock` + `s3:GetBucketPolicyStatus` + `s3:GetBucketAcl` + `s3:ListBucket` + `s3:PutObject` Exemple de politique ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "SSMExecutionPermissions", "Effect": "Allow", "Action": [ "ssm:StartAutomationExecution", "ssm:GetAutomationExecution" ], "Resource": "*" }, { "Sid": "EC2FlowLogsPermissions", "Effect": "Allow", "Action": [ "ec2:CreateFlowLogs", "ec2:DeleteFlowLogs", "ec2:DescribeFlowLogs" ], "Resource": [ "arn:aws:ec2:us-east-1:111122223333:instance/resource-id", "arn:aws:ec2:us-east-1:111122223333:subnet/resource-id", "arn:aws:ec2:us-east-1:111122223333:vpc/resource-id", "arn:aws:ec2:us-east-1:111122223333:transit-gateway/resource-id", "arn:aws:ec2:us-east-1:111122223333:transit-gateway-attachment/resource-id" ] }, { "Sid": "IAMCreateRolePermissions", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:CreatePolicy", "iam:DeletePolicy", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:GetPolicy", "iam:GetRole", "iam:TagRole", "iam:PassRole", "iam:PutRolePolicy", "iam:UpdateRole" ], "Resource": [ "arn:aws:iam::111122223333:role/role-name", "arn:aws:iam::111122223333:role/AWSSupportCreateFlowLogsRole" ] }, { "Sid": "CloudWatchLogsPermissions", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:DeleteLogDelivery", "logs:DeleteLogGroup", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:us-east-1:111122223333:log-group:log-group-name", "arn:aws:logs:us-east-1:111122223333:log-group:log-group-name:*" ] }, { "Sid": "S3Permissions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetBucketPublicAccessBlock", "s3:GetAccountPublicAccessBlock", "s3:GetBucketPolicyStatus", "s3:GetBucketAcl", "s3:ListBucket", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ] } ] } ``` ------ **Étapes de document** + `aws:branch`- Branches basées sur la valeur spécifiée pour le `LogDestinationType` paramètre. + `aws:executeScript`- Vérifie si l'Amazon Simple Storage Service (Amazon S3) cible **accorde** potentiellement un accès en lecture **ou** en `public` écriture à ses objets. + `aws:executeScript`- Crée un groupe de journaux si aucune valeur n'est spécifiée pour le `LogDestinationARN` paramètre, mais elle `cloud-watch-logs` est spécifiée pour le `LogDestinationType` paramètre. + `aws:executeScript`- Crée des journaux de flux en fonction des valeurs spécifiées dans les paramètres du runbook. # `AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch` **Description** Le `AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch` runbook remplace un journal de flux Amazon VPC existant qui publie les données du journal de flux sur Amazon Simple Storage Service (Amazon S3) par un journal de flux qui publie les données du journal de flux dans le groupe de journaux CloudWatch Amazon Logs CloudWatch (Logs) que vous spécifiez. [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch) **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. + DestinationLogGroup Type : Chaîne Description : (Obligatoire) Nom du groupe de CloudWatch journaux dans lequel vous souhaitez publier les données des journaux de flux. + DeliverLogsPermissionArn Type : Chaîne Description : (Obligatoire) L'ARN du rôle Gestion des identités et des accès AWS (IAM) que vous souhaitez utiliser et qui fournit à Amazon Elastic Compute Cloud (Amazon EC2) les autorisations requises pour publier les données des journaux de flux dans Logs. CloudWatch + FlowLogId Type : Chaîne Description : (Obligatoire) L'ID du journal de flux publié sur Amazon S3 que vous souhaitez remplacer. + MaxAggregationInterval Type : Integer Valeurs valides : 60 \$1 600 Description : (Facultatif) Intervalle de temps maximal, en secondes, pendant lequel un flux de paquets est capturé et agrégé dans un enregistrement de journal de flux. + TrafficType Type : Chaîne Valeurs valides : ACCEPTER \$1 REJETER \$1 TOUT Description : (Obligatoire) Type de données du journal de flux que vous souhaitez enregistrer et publier. **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. + `ssm:StartAutomationExecution` + `ssm:GetAutomationExecution` + `ec2:CreateFlowLogs` + `ec2:DeleteFlowLogs` + `ec2:DescribeFlowLogs` **Étapes de document** + `aws:executeAwsApi`- Recueille des informations sur votre VPC à partir de la valeur que vous spécifiez dans `FlowLogId` le paramètre. + `aws:executeAwsApi`- Crée un journal de flux basé sur les valeurs que vous spécifiez pour les paramètres du runbook. + `aws:assertAwsResourceProperty`- Vérifie que le journal de flux nouvellement créé est publié dans CloudWatch Logs. + `aws:executeAwsApi`- Supprime le journal de flux publié sur Amazon S3. + `aws:executeScript`- Confirme que le journal de flux publié sur Amazon S3 a été supprimé. # `AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket` **Description** Le `AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket` runbook *remplace* un journal de flux Amazon VPC existant qui publie les données du journal de flux sur CloudWatch Amazon Logs CloudWatch (Logs) par un journal de flux qui publie les données du journal de flux dans le compartiment Amazon Simple Storage Service (Amazon S3) que vous spécifiez. [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket) **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. + Destinations 3 BucketArn Type : Chaîne Description : (Obligatoire) L'ARN du compartiment Amazon S3 dans lequel vous souhaitez publier les données du journal de flux. + FlowLogId Type : Chaîne Description : (Obligatoire) L'ID du journal de flux publié dans les CloudWatch journaux que vous souhaitez remplacer. + MaxAggregationInterval Type : Integer Valeurs valides : 60 \$1 600 Description : (Facultatif) Intervalle de temps maximal, en secondes, pendant lequel un flux de paquets est capturé et agrégé dans un enregistrement de journal de flux. + TrafficType Type : Chaîne Valeurs valides : ACCEPTER \$1 REJETER \$1 TOUT Description : (Obligatoire) Type de données du journal de flux que vous souhaitez enregistrer et publier. **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. + `ssm:StartAutomationExecution` + `ssm:GetAutomationExecution` + `ec2:CreateFlowLogs` + `ec2:DeleteFlowLogs` + `ec2:DescribeFlowLogs` **Étapes de document** + `aws:executeAwsApi`- Recueille des informations sur votre VPC à partir de la valeur que vous spécifiez dans `FlowLogId` le paramètre. + `aws:executeAwsApi`- Crée un journal de flux basé sur les valeurs que vous spécifiez pour les paramètres du runbook. + `aws:assertAwsResourceProperty`- Vérifie que le journal de flux nouvellement créé est publié sur Amazon S3. + `aws:executeAwsApi`- Supprime le journal de flux publié dans CloudWatch Logs. + `aws:executeScript`- Confirme que le journal de flux publié dans CloudWatch Logs a été supprimé. # `AWS-ReleaseElasticIP` **Description** Libérer l'adresse IP Elastic spécifiée à l'aide de l'ID d'allocation [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-ReleaseElasticIP) **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook. + AllocationId Type : Chaîne Description : (Obligatoire) ID d'allocation de l'adresse IP Elastic. # `AWS-RemoveNetworkACLUnrestrictedSSHRDP` **Description** Le `AWS-RemoveNetworkACLUnrestrictedSSHRDP` runbook supprime toutes les règles de liste de contrôle d'accès réseau (ACL) de l'ACL réseau spécifiée qui autorisent le trafic entrant depuis toutes les adresses sources vers les ports SSH et RDP par défaut. Les règles qui incluent des plages de ports qui se chevauchent avec les ports SSH et RDP par défaut ne sont pas supprimées. [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-RemoveNetworkACLUnrestrictedSSHRDP) **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook. + NetworkAclId Type : Chaîne Description : (Obligatoire) ID de l'ACL réseau dont vous souhaitez supprimer les règles illimitées qui autorisent le trafic entrant de toutes les adresses source vers les ports SSH et RDP par défaut. **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. + `ssm:StartAutomationExecution` + `ssm:GetAutomationExecution` + `ec2:DeleteNetworkAclEntry` + `ec2:DescribeNetworkAcls` **Étapes de document** + `aws:executeScript`- Supprime toutes les règles d'entrée qui autorisent le trafic depuis toutes les adresses sources du groupe de sécurité que vous avez spécifié dans le `SecurityGroupId` paramètre. **Sorties** RemoveNaclEntriesAndVerify. VerificationMessage - Messages de vérification des règles ACL du réseau correctement supprimées. RemoveNaclEntriesAndVerify. RulesDeletedAndApiResponses - Les règles ACL du réseau qui ont été supprimées et les réponses aux opérations de l'`DeleteNetworkAclEntry`API. # `AWSConfigRemediation-RemoveUnrestrictedSourceIngressRules` **Description** Le `AWSConfigRemediation-RemoveUnrestrictedSourceIngressRules` runbook supprime toutes les règles d'entrée du groupe de sécurité que vous spécifiez qui autorisent le trafic provenant de toutes les adresses sources. [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-RemoveUnrestrictedSourceIngressRules) **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. + SecurityGroupId Type : Chaîne Description : (Obligatoire) L'ID du groupe de sécurité dont vous souhaitez supprimer les règles d'entrée qui autorisent le trafic provenant de toutes les adresses sources. **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. + `ssm:StartAutomationExecution` + `ssm:GetAutomationExecution` + `ec2:DescribeSecurityGroups` + `ec2:RevokeSecurityGroupIngress` **Étapes de document** + `aws:executeScript`- Supprime toutes les règles d'entrée qui autorisent le trafic depuis toutes les adresses sources du groupe de sécurité que vous avez spécifié dans le `SecurityGroupId` paramètre. # `AWSConfigRemediation-RemoveVPCDefaultSecurityGroupRules` **Description** Le `AWSConfigRemediation-RemoveVPCDefaultSecurityGroupRules` runbook supprime toutes les règles du groupe de sécurité par défaut du cloud privé virtuel (VPC) que vous spécifiez. [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-RemoveVPCDefaultSecurityGroupRules) **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. + GroupId Type : Chaîne Description : (Obligatoire) L'ID du groupe de sécurité dont vous souhaitez supprimer toutes les règles. **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. + `ssm:StartAutomationExecution` + `ssm:GetAutomationExecution` + `ec2:DescribeSecurityGroups` + `ec2:RevokeSecurityGroupEgress` + `ec2:RevokeSecurityGroupIngress` **Étapes de document** + `aws:assertAwsResourceProperty`- Confirme que le groupe de sécurité que vous avez spécifié dans le `GroupId` paramètre est nommé par défaut. + `aws:executeScript`- Supprime toutes les règles du groupe de sécurité que vous avez spécifié dans le `GroupId` paramètre. # `AWSSupport-SetupIPMonitoringFromVPC` **Description** `AWSSupport-SetupIPMonitoringFromVPC`crée une instance Amazon Elastic Compute Cloud (Amazon EC2) dans le sous-réseau spécifié et surveille la IPs cible sélectionnée IPv4 ( IPv6ou) en exécutant en permanence des tests ping, MTR, traceroute et tracetcp. Les résultats sont stockés dans les CloudWatch journaux Amazon Logs et des filtres métriques sont appliqués pour visualiser rapidement les statistiques de latence et de perte de paquets dans un CloudWatch tableau de bord. **Informations supplémentaires** Les données CloudWatch des journaux peuvent être utilisées pour le dépannage du réseau et pour analyser si le pattern/trends. Additionally, you can configure CloudWatch alarms with Amazon SNS notifications when packet loss and/or temps de latence atteint un certain seuil. Les données peuvent également être utilisées lors de l'ouverture d'un dossier AWS Support, afin d'isoler rapidement un problème et de réduire le temps de résolution lors de l'enquête sur un problème réseau. [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-SetupIPMonitoringFromVPC) **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook. + CloudWatchLogGroupNamePrefix Type : Chaîne Valeur par défaut : `/AWSSupport-SetupIPMonitoringFromVPC` Description : (Facultatif) Préfixe utilisé pour chaque groupe de CloudWatch journaux créé pour les résultats du test. + CloudWatchLogGroupRetentionInDays Type : Chaîne Valeurs valides : 1 \$1 3 \$1 5 \$1 7 \$1 14 \$1 30 \$1 60 \$1 90 \$1 120 \$1 150 \$1 180 \$1 365 \$1 400 \$1 545 \$1 731 \$1 1827 \$1 3653 Valeur par défaut : 7 Description : (Facultatif) nombre de jours pendant lesquels vous souhaitez conserver les résultats de la surveillance du réseau. + InstanceType Type : Chaîne Valeurs valides : t2.micro \$1 t2.small \$1 t2.medium \$1 t2.large \$1 t3.micro \$1 t3.small \$1 t3.medium \$1 t3.large \$1 t4g.micro \$1 t4g.small \$1 t4g.medium \$1 t4g.large Par défaut : t3.micro Description : (Facultatif) Type d'instance EC2 pour l'instance EC2 Rescue. Taille recommandée : t3.micro. + SubnetId Type : Chaîne Description : (Obligatoire) ID de sous-réseau pour l'instance de surveillance. Sachez que si vous spécifiez un sous-réseau privé, vous devez vous assurer qu'il existe un accès Internet pour permettre à l'instance de surveillance de configurer le test (c'est-à-dire d'installer l'agent CloudWatch Logs, d'interagir avec Systems Manager et CloudWatch). + Cible IPs Type : Chaîne Description : (Obligatoire) Liste séparée par des virgules de IPv4s et/ou IPv6s à surveiller. Les espaces ne sont pas autorisés. La taille maximale est de 255 caractères. Sachez que si vous fournissez une adresse IP non valide, l'automatisation échoue et restaure la configuration du test. + TestInstanceSecurityGroupId Type : Chaîne Description : (Facultatif) L'ID du groupe de sécurité pour l'instance de test. Si ce n'est pas spécifié, l'automatisation en crée une lors de la création de l'instance. Assurez-vous que le groupe de sécurité autorise l'accès sortant à la surveillance IPs. + TestInstanceProfileName Type : Chaîne Description : (Facultatif) Nom d'un profil d'instance IAM existant pour l'instance de test. Si ce n'est pas spécifié, l'automatisation en crée une lors de la création de l'instance. Le rôle doit disposer des autorisations suivantes : `logs:CreateLogStream``logs:DescribeLogGroups`,`logs:DescribeLogStreams`, `logs:PutLogEvents` et de la politique AWS gérée`AmazonSSMManagedInstanceCore`. + TestInterval Type : Chaîne Description : (Facultatif) Le nombre de minutes entre les intervalles de test. La valeur par défaut est `1` minute et la valeur maximale est `10` minutes. + RetainDashboardAndLogsOnDeletion Type : Chaîne Description : (Facultatif) Spécifiez `False` la suppression du tableau de CloudWatch bord et des journaux Amazon lors de la suppression de la AWS AWS CloudFormation pile. La valeur par défaut est `True`. Par défaut, le tableau de bord et les journaux sont conservés et devront être supprimés manuellement lorsqu'ils ne seront plus nécessaires. **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. **Avertissement** Il est recommandé de transmettre les `TestInstanceProfileName` paramètres ou de s'assurer que des garde-fous de sécurité sont en place pour empêcher toute utilisation abusive des autorisations IAM modifiables. Il est recommandé que la politique gérée par **Amazon SSMAutomation Role** IAM soit jointe à l'utilisateur qui exécute l'automatisation. En outre, l'utilisateur doit disposer de la stratégie suivante associée à son compte utilisateur, groupe ou rôle : ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "iam:CreateRole", "iam:CreateInstanceProfile", "iam:GetRole", "iam:GetInstanceProfile", "iam:DetachRolePolicy", "iam:AttachRolePolicy", "iam:PassRole", "iam:AddRoleToInstanceProfile", "iam:GetRolePolicy", "iam:RemoveRoleFromInstanceProfile", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DeleteInstanceProfile", "iam:PutRolePolicy", "iam:TagRole" ], "Resource": [ "arn:aws:iam::111122223333:role/SetupIPMonitoringFromVPC*", "arn:aws:iam::111122223333:instance-profile/SetupIPMonitoringFromVPC*" ], "Effect": "Allow" }, { "Action": [ "cloudformation:CreateStack", "cloudformation:CreateChangeSet", "cloudformation:DeleteStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudwatch:PutDashboard", "cloudwatch:DeleteDashboards", "ec2:AuthorizeSecurityGroupEgress", "ec2:CreateSecurityGroup", "ec2:CreateLaunchTemplate", "ec2:DeleteSecurityGroup", "ec2:DescribeImages", "ec2:DescribeSubnets", "ec2:DescribeInstanceTypes", "ec2:DescribeVpcs", "ec2:DeleteLaunchTemplate", "ec2:DeleteSecurityGroup", "ec2:RunInstances", "ec2:TerminateInstances", "ec2:DescribeInstanceStatus", "ec2:CreateTags", "ec2:AssignIpv6Addresses", "ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeSecurityGroups", "ec2:DescribeLaunchTemplates", "ec2:RevokeSecurityGroupEgress", "logs:CreateLogGroup", "logs:DeleteLogGroup", "logs:PutMetricFilter", "logs:PutRetentionPolicy", "logs:TagResource", "ssm:DescribeInstanceInformation", "ssm:GetParameter", "ssm:GetParameters", "ssm:SendCommand", "ssm:ListCommands", "ssm:ListCommandInvocations" ], "Resource": [ "*" ], "Effect": "Allow" } ] } ``` ------ Si le `TestInstanceProfileName` paramètre est fourni, les autorisations IAM suivantes ne sont pas requises pour exécuter le runbook : + iam : CreateRole + iam : CreateInstanceProfile + iam : DetachRolePolicy + iam : AttachRolePolicy + iam : AddRoleToInstanceProfile + iam : RemoveRoleFromInstanceProfile + iam : DeleteRole + iam : DeleteRolePolicy + iam : DeleteInstanceProfile **Étapes de document** 1. **`aws:executeAwsApi`**- décrivez le sous-réseau fourni pour obtenir l'ID du VPC IPv6 et l'état de l'association des blocs CIDR. 1. **`aws:executeScript`**- validez que la cible fournie est syntaxiquement correcte IPv4 et/ou que IPv6 les adresses IPs sont correctes, obtenez l'architecture du type d'instance sélectionné et vérifiez que le sous-réseau possède une association de IPv6 pool si une adresse IP cible l'est. IPv6 1. **`aws:createStack`**- créez une AWS CloudFormation pile qui approvisionne l'instance Amazon EC2 de test, le profil d'instance IAM (s'il n'est pas fourni), le groupe de sécurité (s'il n'est pas fourni), les groupes de CloudWatch journaux et le tableau de bord. CloudWatch (Nettoyage) Si l'étape échoue : **`aws:executeScript`**- décrivez les événements de la CloudFormation pile pour identifier la cause de la panne. **`aws:deleteStack`**- supprimez la CloudFormation pile et toutes les ressources associées. 1. **`aws:waitForAwsResourceProperty`**- attendez que la création de la CloudFormation pile soit terminée. (Nettoyage) Si l'étape échoue : **`aws:executeScript`**- décrivez les événements de la CloudFormation pile pour identifier la cause de la panne. **`aws:deleteStack`**- supprimez la CloudFormation pile et toutes les ressources associées. 1. **`aws:executeScript`**- décrivez les ressources de la CloudFormation pile pour obtenir l'ID de l'instance de test, l'ID du groupe de sécurité, le rôle IAM, le profil de l'instance et le nom du tableau de bord. (Nettoyage) Si l'étape échoue : **`aws:executeScript`**- décrivez les événements de la CloudFormation pile pour identifier la cause de la panne. **`aws:deleteStack`**- supprimez la CloudFormation pile et toutes les ressources associées. 1. **`aws:waitForAwsResourceProperty`**- attendez que l'instance de test devienne une instance gérée. (Nettoyage) Si l'étape échoue : **`aws:deleteStack`**- supprimez la CloudFormation pile et toutes les ressources associées. 1. **`aws:runCommand`**- installez l' CloudWatch agent sur l'instance de test. (Nettoyage) Si l'étape échoue : **`aws:deleteStack`**- supprimez la CloudFormation pile et toutes les ressources associées. 1. **`aws:runCommand`**- définissez les scripts de test réseau (MTR, ping, tracepath et traceroute) pour chacun des scripts fournis. IPs (Nettoyage) Si l'étape échoue : **`aws:deleteStack`**- supprimez la CloudFormation pile et toutes les ressources associées. 1. **`aws:runCommand`**- lancez les tests réseau et planifiez les exécutions suivantes à l'aide de cronjobs qui s'exécutent toutes les TestInterval minutes. (Nettoyage) Si l'étape échoue : **`aws:deleteStack`**- supprimez la CloudFormation pile et toutes les ressources associées. 1. **`aws:runCommand`**- configurez l' CloudWatch agent pour transférer les résultats des tests `/home/ec2-user/logs/` vers CloudWatch Logs. (Nettoyage) Si l'étape échoue : **`aws:deleteStack`**- supprimez la CloudFormation pile et toutes les ressources associées. 1. **`aws:runCommand`**- configurez la rotation du journal pour les résultats des tests dans`/home/ec2-user/logs/`. 1. **`aws:executeScript`**- définissez la politique de rétention pour tous les groupes de CloudWatch journaux créés par la CloudFormation pile. 1. **`aws:executeScript`**- créer des filtres métriques pour les groupes de CloudWatch journaux pour la latence du ping et la perte de paquets ping. (Nettoyage) Si l'étape échoue : **`aws:deleteStack`**- supprimez la CloudFormation pile et toutes les ressources associées. 1. **`aws:executeScript`**- mettez à jour le CloudWatch tableau de bord pour inclure des widgets pour les statistiques de latence et de perte de paquets ping. (Nettoyage) Si l'étape échoue : **`aws:executeAwsApi`**- supprimez le CloudWatch tableau de bord, s'il existe. **`aws:deleteStack`**- supprimez la CloudFormation pile et toutes les ressources associées. 1. **`aws:branch`**- évaluer le SleepTime paramètre. S'il est défini sur`0`, l'automatisation se termine sans supprimer la pile. 1. **`aws:sleep`**- attendez la SleepTime durée spécifiée avant de supprimer la CloudFormation pile. 1. **`aws:deleteStack`**- supprimez la CloudFormation pile. En fonction du RetainDashboardAndLogsOnDeletion paramètre, le CloudWatch tableau de bord et les groupes de journaux sont conservés ou supprimés. (Nettoyage) Si la suppression de la pile échoue : **`aws:executeScript`**- décrivez les événements de la CloudFormation pile pour identifier la raison de l'échec de suppression. **Sorties** updateCloudWatchTableau de bord. StackUrl - l'URL de la CloudFormation pile. updateCloudWatchTableau de bord. DashboardUrl - l'URL du CloudWatch tableau de bord. updateCloudWatchTableau de bord. DashboardName - le nom du CloudWatch tableau de bord. updateCloudWatchTableau de bord. LogGroups - la liste des groupes de CloudWatch journaux créés. describeStackResources. HelperInstanceId - l'ID de l'instance de test. describeStackResources. StackName - le nom de la CloudFormation pile. # `AWSSupport-TerminateIPMonitoringFromVPC` **Description** `AWSSupport-TerminateIPMonitoringFromVPC`met fin à un test de surveillance IP précédemment lancé par`AWSSupport-SetupIPMonitoringFromVPC`. Les données relatives à l'ID de test spécifié sont supprimées. [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TerminateIPMonitoringFromVPC) **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook. + AutomationExecutionId Type : Chaîne Description : (Obligatoire) L'ID d'exécution de l'automatisation utilisé lors de l'exécution précédente du `AWSSupport-SetupIPMonitoringFromVPC` runbook. Toutes les ressources associées à cet ID d'exécution sont supprimées. + InstanceId Type : Chaîne Description : (Obligatoire) ID de l'instance de surveillance. + SubnetId Type : Chaîne Description : (Obligatoire) ID de sous-réseau pour l'instance de surveillance. **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. Il est recommandé que la politique gérée par **Amazon SSMAutomation Role** IAM soit jointe à l'utilisateur qui exécute l'automatisation. En outre, la politique suivante doit être attachée à l'utilisateur, au groupe ou au rôle de l'utilisateur : ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "iam:DetachRolePolicy", "iam:RemoveRoleFromInstanceProfile", "iam:DeleteRole", "iam:DeleteInstanceProfile", "iam:DeleteRolePolicy" ], "Resource": [ "arn:aws:iam::111122223333:role/AWSSupport/SetupIPMonitoringFromVPC_*", "arn:aws:iam::111122223333:instance-profile/AWSSupport/SetupIPMonitoringFromVPC_*" ], "Effect": "Allow" }, { "Action": [ "iam:DetachRolePolicy" ], "Resource": [ "arn:aws:iam::aws:policy/service-role/AmazonSSMManagedInstanceCore" ], "Effect": "Allow" }, { "Action": [ "cloudwatch:DeleteDashboards" ], "Resource": [ "*" ], "Effect": "Allow" }, { "Action": [ "ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeSecurityGroups", "ec2:DeleteSecurityGroup", "ec2:TerminateInstances", "ec2:DescribeInstanceStatus" ], "Resource": [ "*" ], "Effect": "Allow" } ] } ``` ------ **Étapes de document** 1. `aws:assertAwsResourceProperty`- vérifient AutomationExecutionId et InstanceId sont liés au même test. 1. `aws:assertAwsResourceProperty`- vérifient SubnetId et InstanceId sont liés au même test. 1. `aws:executeAwsApi`- récupérer le groupe de sécurité de test. 1. `aws:executeAwsApi`- supprimez le CloudWatch tableau de bord. 1. `aws:changeInstanceState`- arrête l'instance de test. 1. `aws:executeAwsApi`- supprime le profil d'instance IAM du rôle. 1. `aws:executeAwsApi`- supprimez le profil d'instance IAM créé par l'automatisation. 1. `aws:executeAwsApi`- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation. 1. `aws:executeAwsApi`- détachez la politique SSMManaged InstanceCore gérée par **Amazon** du rôle créé par l'automatisation. 1. `aws:executeAwsApi`- supprimez le rôle IAM créé par l'automatisation. 1. `aws:executeAwsApi`- supprimez le groupe de sécurité créé par l'automatisation, s'il existe. **Sorties** Aucune