Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Référence du dossier d’exploitation Systems Manager Automation
Pour vous aider à démarrer rapidement, AWS Systems Manager fournit des runbooks prédéfinis. Ces runbooks sont gérés par Amazon Web Services AWS Support, et AWS Config. Le Runbook Reference décrit chacun des runbooks prédéfinis fournis par Systems Manager Support, et. AWS Config
**Important**
Si vous exécutez un flux de travail d'automatisation qui appelle d'autres services à l'aide d'un rôle de service Gestion des identités et des accès AWS (IAM), le rôle de service doit être configuré avec l'autorisation d'appeler ces services. Cette exigence s'applique à tous les runbooks Automation d' AWS (runbooks `AWS-*`) tels que les runbooks `AWS-ConfigureS3BucketLogging`, `AWS-CreateDynamoDBBackup` et `AWS-RestartEC2Instance`, par exemple. Cette exigence s'applique également à tous les runbooks d'automatisation personnalisés que vous créez et qui invoquent d'autres AWS services en utilisant des actions qui appellent d'autres services. Par exemple, si vous exécutez les actions `aws:executeAwsApi`, `aws:createStack` ou `aws:copyImage`, vous devez configurer la fonction du service avec l'autorisation de faire appel à ces services. Vous pouvez activer les autorisations d'accès à d'autres AWS services en ajoutant une politique IAM en ligne au rôle. Pour plus d'informations, voir [Ajouter une politique d'automatisation intégrée pour appeler d'autres AWS services](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-permissions.html#automation-role-add-inline-policy).
Cette référence inclut des rubriques qui décrivent chacun des runbooks de Systems Manager détenus par AWS AWS Support, et AWS Config. Les runbooks sont organisés par personne concernée Service AWS. Chaque page fournit une explication des paramètres obligatoires et facultatifs que vous pouvez spécifier lors de l'utilisation du runbook. Chaque page répertorie également les étapes du runbook et le résultat de l'automatisation, le cas échéant.
Cette référence *n'inclut pas* de page distincte pour les runbooks qui nécessitent une approbation, comme le runbook `AWS-CreateManagedLinuxInstanceWithApproval` ou le `AWS-StopEC2InstanceWithApproval` runbook. Tout nom de runbook qui inclut`WithApproval`, signifie que le runbook inclut l'[https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-action-approve.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-action-approve.html)action. Cette action interrompt temporairement une automatisation jusqu'à ce que les responsables désignés approuvent ou rejettent l'action. Une fois le nombre d'approbations requises atteint, l'automatisation reprend.
Pour plus d'informations sur l'exécution d'automatisations, voir [Exécution d'une automatisation simple](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-working-executing.html). Pour plus d'informations sur l'exécution d'automatisations sur plusieurs cibles, voir [Exécution d'automatismes utilisant des cibles et des contrôles de débit](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-working-targets-and-rate-controls.html).
**Topics**
+ [Afficher le contenu du runbook](#view-automation-json)
+ [API Gateway](automation-ref-abp.md)
+ [AWS Batch](automation-ref-batch.md)
+ [CloudFormation](automation-ref-cfn.md)
+ [CloudFront](automation-ref-cf.md)
+ [CloudTrail](automation-ref-ct.md)
+ [CloudWatch](automation-ref-cw.md)
+ [Amazon DocumentDB](automation-ref-docdb.md)
+ [CodeBuild](automation-ref-acb.md)
+ [AWS CodeDeploy](automation-ref-acd.md)
+ [AWS Config](automation-ref-cc.md)
+ [Amazon Connect](automation-ref-con.md)
+ [AWS Directory Service](automation-ref-ads.md)
+ [AWS AppSync](automation-ref-apsy.md)
+ [Amazon Athena](automation-ref-ate.md)
+ [DynamoDB](automation-ref-ddb.md)
+ [AWS Database Migration Service](automation-ref-dms.md)
+ [Amazon EBS](automation-ref-ebs.md)
+ [Amazon EC2](automation-ref-ec2.md)
+ [Amazon ECS](automation-ref-ecs.md)
+ [Amazon EFS](automation-ref-efs.md)
+ [Amazon EKS](automation-ref-eks.md)
+ [Elastic Beanstalk](automation-ref-aeb.md)
+ [Elastic Load Balancing](automation-ref-elb.md)
+ [Amazon EMR](automation-ref-emr.md)
+ [Amazon OpenSearch Service](automation-ref-opensearch.md)
+ [EventBridge](automation-ref-ev.md)
+ [AWS Glue](automation-ref-glu.md)
+ [Amazon FSx](automation-ref-fsx.md)
+ [GuardDuty](automation-ref-gdu.md)
+ [IAM](automation-ref-iam.md)
+ [Détection et réponse aux incidents](automation-ref-idr.md)
+ [Amazon Kinesis Data Streams](automation-ref-aks.md)
+ [AWS KMS](automation-ref-kms.md)
+ [Lambda](automation-ref-lam.md)
+ [Amazon Managed Workflows for Apache Airflow](automation-ref-mwaa.md)
+ [Neptune](automation-ref-neptune.md)
+ [Amazon RDS](automation-ref-rds.md)
+ [Amazon Redshift](automation-ref-rs.md)
+ [Amazon S3](automation-ref-s3.md)
+ [Amazon SES](automation-ref-ses.md)
+ [SageMaker IA](automation-ref-sm.md)
+ [Secrets Manager](automation-ref-asm.md)
+ [Security Hub (CSPM)](automation-ref-ash.md)
+ [AWS Shield](automation-ref-shd.md)
+ [Amazon SNS](automation-ref-sns.md)
+ [Amazon SQS](automation-ref-sqs.md)
+ [Step Functions](automation-ref-sfn.md)
+ [Systems Manager](automation-ref-sys.md)
+ [Tiers](automation-ref-third-party.md)
+ [Amazon VPC](automation-ref-vpc.md)
+ [AWS WAF](automation-ref-waf.md)
+ [Amazon WorkSpaces](automation-ref-wsp.md)
+ [X-Ray](automation-ref-xray.md)
## Afficher le contenu du runbook
Vous pouvez consulter le contenu des runbooks dans la console Systems Manager.
**Pour afficher le contenu du runbook**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, cliquez sur **Documents**.
-ou-
Si la page d' AWS Systems Manager accueil s'ouvre en premier, choisissez l'icône de menu (![\[Horizontal black and white striped pattern forming a simple geometric design.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/menu-icon-small.png)) pour ouvrir le volet de navigation, puis choisissez **Documents** dans le volet de navigation.
1. Dans la section **Catégories**, sélectionnez **Documents d'automatisation**.
1. Sélectionnez un runbook, puis sélectionnez **View details (Afficher les détails)**.
1. Sélectionnez l'onglet **Contenu**.
# API Gateway
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon API Gateway. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSConfigRemediation-DeleteAPIGatewayStage`](automation-aws-delete-apigw-stage.md)
+ [`AWSConfigRemediation-EnableAPIGatewayTracing`](automation-aws-enable-apigw-tracing.md)
+ [`AWSConfigRemediation-UpdateAPIGatewayMethodCaching`](automation-aws-update-api-gateway.md)
+ [`AWSSupport-TroubleshootAPIGatewayHttpErrors`](automation-aws-troubleshootapigatewayhttp-errors.md)
# `AWSConfigRemediation-DeleteAPIGatewayStage`
**Description**
Le `AWSConfigRemediation-DeleteAPIGatewayStage` runbook supprime un stage Amazon API Gateway (API Gateway). AWS Config doit être activé dans l' Région AWS endroit où vous exécutez cette automatisation.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteAPIGatewayStage)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ StageArn
Type : String
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du stage API Gateway que vous souhaitez supprimer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `config:GetResourceConfigHistory`
+ `apigateway:GET`
+ `apigateway:DELETE`
**Étapes de document**
+ `aws:executeScript`- Supprime le stage API Gateway spécifié dans le `StageArn` paramètre.
# `AWSConfigRemediation-EnableAPIGatewayTracing`
**Description**
Le `AWSConfigRemediation-EnableAPIGatewayTracing` runbook permet le suivi sur un stage Amazon API Gateway (API Gateway). AWS Config doit être activé dans l' Région AWS endroit où vous exécutez cette automatisation.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableAPIGatewayTracing)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ StageArn
Type : String
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du stage API Gateway sur lequel vous souhaitez activer le suivi.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:GetAutomationExecution`
+ `ssm:StartAutomationExecution`
+ `config:GetResourceConfigHistory`
+ `apigateway:GET`
+ `apigateway:PATCH`
**Étapes de document**
+ `aws:executeScript`- Active le suivi sur le stage API Gateway spécifié dans le `StageArn` paramètre.
# `AWSConfigRemediation-UpdateAPIGatewayMethodCaching`
**Description**
Le `AWSConfigRemediation-UpdateAPIGatewayMethodCaching` runbook met à jour le paramètre de méthode de cache pour une ressource de stage Amazon API Gateway.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-UpdateAPIGatewayMethodCaching)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ CachingAuthorizedMethods
Type : StringList
Description : (Obligatoire) Les méthodes autorisées à activer la mise en cache. La liste doit être une combinaison de `DELETE``GET`,`HEAD`,`OPTIONS`,`PATCH`,`POST`, et`PUT`. La mise en cache est activée pour les méthodes sélectionnées et désactivée pour les méthodes non sélectionnées. La mise en cache est activée pour toutes les méthodes si elle `ANY` est sélectionnée et désactivée pour toutes les méthodes si elle `NONE` est sélectionnée.
+ StageArn
Type : String
Description : (Obligatoire) L'ARN du stage API Gateway pour l'`REST`API.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `apigateway:PATCH`
+ `apigateway:GET`
**Étapes de document**
+ `aws:executeScript`- Accepte l'ID de ressource de l'étape comme entrée, met à jour le paramètre de méthode de cache pour une étape API Gateway à l'aide de l'action `UpdateStage` API et vérifie la mise à jour.
# `AWSSupport-TroubleshootAPIGatewayHttpErrors`
**Description**
Le **AWSSupport-TroubleshootAPIGatewayHttpErrors**runbook permet de résoudre les erreurs 5XX/4XX lors de l'appel d'une API REST Amazon API Gateway déployée en analysant les journaux d'exécution des and/or accès et en analysant les erreurs afin de fournir des étapes de correction via les articles et la documentation de Re:Post. AWS
**Important**
Ce runbook présente les limites suivantes :
La journalisation doit être activée. Consultez [Configurer la journalisation des CloudWatch API Amazon à l'aide de la console API Gateway](https://docs.aws.amazon.com//apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console).
Les journaux doivent avoir été activés avant que les erreurs ne se produisent. La capture et l'analyse des journaux ne peuvent pas être effectuées rétrospectivement.
Erreurs couvertes : 500, 502, 503, 504, 401, 403, 429.
Seul le protocole REST APIs est pris en charge. WebSocket et HTTP (v2) ne sont pas couverts par ce runbook.
**Important**
L'utilisation de ce runbook peut entraîner des frais supplémentaires sur votre AWS compte pour les Amazon CloudWatch Logs capturés par votre API REST et pour les CloudWatch Logs Insights utilisés dans l'analyse. Consultez les [ CloudWatch tarifs d'Amazon](https://aws.amazon.com/cloudwatch/pricing/) pour plus de détails sur les frais qui peuvent être encourus. Si l'`aws:deletestack`étape échoue, accédez à la CloudFormation console pour supprimer manuellement la pile. Le nom de la pile créée par ce runbook commence `AWSSupport-TroubleshootAPIGatewayHttpErrors` par. Pour plus d'informations sur la suppression de CloudFormation piles, voir [Supprimer une pile](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html) dans le Guide de l' AWS CloudFormation utilisateur.
**Fonctionnement**
Le runbook exécute les étapes de validation et d'analyse suivantes :
+ Vérifie que l'API REST spécifiée existe et que vous disposez des autorisations nécessaires.
+ Valide que l'étape spécifiée existe dans l'API.
+ Valide que le chemin de ressource spécifié existe dans l'API.
+ Valide que la méthode HTTP spécifiée existe pour la ressource.
+ Analyse les CloudWatch journaux pour les paramètres et la plage de temps spécifiés afin d'identifier les erreurs et de fournir des recommandations de correction.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootAPIGatewayHttpErrors)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
/
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `apigateway:GET`
+ `logs:CreateLogGroup`
+ `logs:CreateLogStream`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `logs:PutLogEvents`
+ `logs:StartQuery`
+ `logs:GetQueryResults`
Exemple de politique IAM :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"apigateway:GET",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:StartQuery",
"logs:GetQueryResults"
],
"Resource": "*"
}
]
}
```
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootAPIGatewayHttpErrors/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootAPIGatewayHttpErrors/description)à Systems Manager sous Documents.
1. Sélectionnez **Execute automation** (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
+ Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à SSM Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, SSM Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Type : `AWS::IAM::Role::Arn`
+ **RestApiId (Obligatoire) :**
+ Description : (Obligatoire) L'ID de l'API qui nécessite un dépannage. Il doit s'agir d'une chaîne alphanumérique de 10 caractères.
+ Type : `String`
+ Modèle autorisé : `^[a-zA-Z0-9]{10}$`
+ **StageName (Obligatoire) :**
+ Description : (Obligatoire) Nom de l'étape déployée. Il doit comporter de 1 à 128 caractères contenant des lettres, des chiffres, des traits de soulignement ou des traits d'union.
+ Type : `String`
+ Modèle autorisé : `^[a-zA-Z0-9_\\-]{1,128}$`
+ **ResourcePath (Facultatif) :**
+ Description : (Facultatif) Le chemin de ressource pour lequel la méthode est configurée. Exemples : `/`, `/store/items`, `/{resource}`.
+ Type : `String`
+ Valeur par défaut : `/`
+ **HttpMethod (Facultatif) :**
+ Description : (Facultatif) Méthode pour le chemin de ressource configuré.
+ Type : `String`
+ Valeurs autorisées : `[ANY, DELETE, HEAD, OPTIONS, GET, POST, PUT, PATCH]`
+ Valeur par défaut : `GET`
+ **StartTime (Facultatif) :**
+ Description : (Facultatif) Date et heure de début de l'interrogation des CloudWatch journaux. Format : `yyyy-MM-ddTHH:mm:ss` dans le fuseau horaire UTC. Si ce n'est pas spécifié, la valeur par défaut est 3 jours avant l'heure actuelle.
+ Type : `String`
+ Modèle autorisé : `^$|^[0-9]{4}-(0[1-9]|1[0-2])-(0[1-9]|[1-2][0-9]|3[0-1])T(2[0-3]|[01][0-9]):[0-5][0-9]:[0-5][0-9]$`
+ Valeur par défaut : `""`
+ **EndTime (Facultatif) :**
+ Description : (Facultatif) Date et heure de fin de consultation des CloudWatch journaux. Format : `yyyy-MM-ddTHH:mm:ss` dans le fuseau horaire UTC. Si ce n'est pas spécifié, la valeur par défaut est l'heure actuelle.
+ Type : `String`
+ Modèle autorisé : `^$|^[0-9]{4}-(0[1-9]|1[0-2])-(0[1-9]|[1-2][0-9]|3[0-1])T(2[0-3]|[01][0-9]):[0-5][0-9]:[0-5][0-9]$`
+ Valeur par défaut : `""`
+ **AccessLogs (Facultatif) :**
+ Description : (Facultatif) Indique si les journaux d'accès doivent être analysés.
+ Type : `Boolean`
+ Valeurs autorisées : `[true, false]`
+ Valeur par défaut : `false`
+ **RequestId (Facultatif) :**
+ Description : (Facultatif) L'ID de la demande pour laquelle une erreur a été observée. Il doit s'agir d'un format UUID valide.
+ Type : `String`
+ Modèle autorisé : `^$|^[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12}$`
+ Valeur par défaut : `""`
1. Sélectionnez **Exécuter**.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **CheckApiExists**:
Vérifie que l'API REST fournie existe et que vous disposez des autorisations nécessaires pour y accéder.
+ **CheckStageExists**:
Vérifie que le nom d'étape fourni existe dans l'API donnée et récupère les informations du groupe de journaux d'accès.
+ **CheckResourceExists**:
Vérifie que le chemin de ressource fourni existe dans l'API et récupère l'ID de ressource.
+ **CheckMethodExists**:
Valide que la méthode HTTP fournie existe pour la ressource spécifiée.
+ **AnalyseLogs**:
Recherche les journaux à l'aide des paramètres fournis et renvoie des recommandations en fonction des erreurs détectées. Cette étape analyse à la fois les journaux d'exécution et d'accès (s'ils sont activés) pour identifier les erreurs 4XX et 5XX et fournit des conseils de correction spécifiques.
1. **Une fois l'opération terminée, consultez la section Résultats pour obtenir les résultats détaillés de l'exécution, y compris l'analyse des erreurs et les recommandations de correction.**
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootAPIGatewayHttpErrors/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Support des flux de travail automatisés](https://aws.amazon.com/premiumsupport/technology/saw/)
# AWS Batch
AWS Systems Manager L'automatisation fournit des runbooks prédéfinis pour AWS Batch. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSSupport-TroubleshootAWSBatchJob`](automation-aws-troubleshoot-aws-batch-job.md)
# `AWSSupport-TroubleshootAWSBatchJob`
**Description**
Le `AWSSupport-TroubleshootAWSBatchJob` runbook vous aide à résoudre les problèmes qui empêchent une AWS Batch tâche de passer du statut au statut. `RUNNABLE` `STARTING`
**Fonctionnement**
Ce runbook effectue les vérifications suivantes :
+ Si l'environnement de calcul est dans un `DISABLED` état `INVALID` ou.
+ Si le `Max vCPU` paramètre de l'environnement de calcul est suffisamment important pour prendre en charge le volume des tâches dans la file d'attente des tâches.
+ Si les tâches nécessitent plus de ressources en v CPUs ou en mémoire que ce que les types d'instances de l'environnement de calcul peuvent fournir.
+ Si les tâches doivent être exécutées sur des instances basées sur le GPU mais que l'environnement de calcul n'est pas configuré pour utiliser des instances basées sur le GPU.
+ Si le groupe Auto Scaling de l'environnement de calcul n'a pas réussi à lancer les instances.
+ Si les instances lancées peuvent rejoindre le cluster Amazon Elastic Container Service (Amazon ECS) sous-jacent, sinon, le runbook est exécuté [AWSSupport-TroubleshootECSContainerInstance](https://docs.aws.amazon.com//systems-manager-automation-runbooks/latest/userguide/automation-aws-troubleshoot-ecs-container-instance.html).
+ Si un problème d'autorisation bloque des actions spécifiques requises pour exécuter le travail.
**Important**
Ce runbook doit être lancé dans la même AWS région que votre tâche dont le `RUNNABLE` statut est bloqué.
Ce runbook peut être lancé pour des AWS Batch tâches planifiées sur des instances Amazon ECS AWS Fargate ou Amazon Elastic Compute Cloud (Amazon EC2). Si l'automatisation est initiée pour une AWS Batch tâche sur Amazon Elastic Kubernetes Service (Amazon EKS), le lancement s'arrête.
Si des instances sont disponibles pour exécuter la tâche mais ne parviennent pas à enregistrer le cluster Amazon ECS, ce runbook lance le runbook `AWSSupport-TroubleshootECSContainerInstance` d'automatisation pour essayer de déterminer pourquoi. Pour plus d'informations, consultez le [AWSSupport-TroubleshootECSContainerInstance](https://docs.aws.amazon.com//systems-manager-automation-runbooks/latest/userguide/automation-aws-troubleshoot-ecs-container-instance.html)runbook.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootAWSBatchJob)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ JobId
Type : Chaîne
Description : (Obligatoire) L'ID du AWS Batch Job dont le `RUNNABLE` statut est bloqué.
Modèle autorisé : `^[a-f0-9]{8}(-[a-f0-9]{4}){3}-[a-f0-9]{12}(:[0-9]+)?(#[0-9]+)?$`
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `autoscaling:DescribeAutoScalingGroups`
+ `autoscaling:DescribeScalingActivities`
+ `batch:DescribeComputeEnvironments`
+ `batch:DescribeJobs`
+ `batch:DescribeJobQueues`
+ `batch:ListJobs`
+ `cloudtrail:LookupEvents`
+ `ec2:DescribeIamInstanceProfileAssociations`
+ `ec2:DescribeInstanceAttribute`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceTypeOfferings`
+ `ec2:DescribeInstanceTypes`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSpotFleetInstances`
+ `ec2:DescribeSpotFleetRequests`
+ `ec2:DescribeSpotFleetRequestHistory`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcEndpoints`
+ `ec2:DescribeVpcs`
+ `ecs:DescribeClusters`
+ `ecs:DescribeContainerInstances`
+ `ecs:ListContainerInstances`
+ `iam:GetInstanceProfile`
+ `iam:GetRole`
+ `iam:ListRoles`
+ `iam:PassRole`
+ `iam:SimulateCustomPolicy`
+ `iam:SimulatePrincipalPolicy`
+ `ssm:DescribeAutomationExecutions`
+ `ssm:DescribeAutomationStepExecutions`
+ `ssm:GetAutomationExecution`
+ `ssm:StartAutomationExecution`
+ `sts:GetCallerIdentity`
**Instructions**
1. Accédez au [AWSSupport-TroubleshootAWSBatchJob](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootAWSBatchJob)dans la AWS Systems Manager console.
1. Sélectionnez **Exécuter l'automatisation**
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole(Facultatif) :**
Amazon Resource Name (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **JobId(Obligatoire) :**
L'ID du AWS Batch Job bloqué dans le `RUNNABLE` statut.
![\[Input parameters form with AutomationAssumeRole and JobId fields for AWS Batch job configuration.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-aws-batch-job_input_paramters.png)
1. Sélectionnez **Exécuter**.
1. Notez que l'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **PreflightPermissionChecks:**
Effectue des vérifications d'autorisation IAM avant le vol par rapport à l'utilisateur/rôle initiateur. Si des autorisations sont manquantes, cette étape fournit les actions d'API manquantes dans la section de sortie globale.
+ **ProceedOnlyIfUserHasPermission:**
Branches basées sur le fait que vous êtes autorisé à effectuer toutes les actions requises pour le runbook.
+ **AWSBatchJobEvaluation:**
Effectue des vérifications par rapport au AWS Batch Job pour vérifier son existence et `RUNNABLE` son statut.
+ **ProceedOnlyIfBatchJobExistsAndIsinRunnableÉtat :**
Branches en fonction de l'existence et du `RUNNABLE` statut des emplois.
+ **BatchComputeEnvironmentEvaluation:**
Effectue des vérifications par rapport à l'environnement AWS Batch informatique.
+ **ProceedOnlyIfComputeEnvironmentChecksAreOK :**
Branches basées sur le succès des vérifications de l'environnement de calcul.
+ **UnderlyingInfraEvaluation:**
Effectue des vérifications par rapport au groupe Auto Scaling ou à la demande de flotte Spot sous-jacents.
+ **ProceedOnlyIfInstancesNotJoiningEcsCluster:**
Branches basées sur le fait que certaines instances ne rejoignent pas le cluster Amazon ECS.
+ **EcsAutomationRunner:**
Exécute l'automatisation Amazon ECS pour les instances qui ne rejoignent pas le cluster.
+ **ExecutionResults:**
Génère une sortie basée sur les étapes précédentes.
1. Une fois l'opération terminée, l'URI du fichier HTML du rapport d'évaluation est fourni :
**Lien vers la console S3 et URI Amazon S3 pour le rapport sur l'exécution réussie du runbook**
![\[Execution result summary showing errors in compute environment setup and job queue.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-aws-batch-job_outputs.png)
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootAWSBatchJob)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
# CloudFormation
AWS Systems Manager L'automatisation fournit des runbooks prédéfinis pour AWS CloudFormation. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-DeleteCloudFormationStack`](automation-aws-deletecloudformationstack.md)
+ [`AWS-EnableCloudFormationSNSNotification`](AWS-EnableCloudFormationStackSNSNotification.md)
+ [`AWS-RunCfnLint`](automation-aws-runcfnlint.md)
+ [`AWSSupport-TroubleshootCFNCustomResource`](automation-awssupport-TroubleshootCFNCustomResource.md)
+ [`AWS-UpdateCloudFormationStack`](automation-aws-updatecloudformationstack.md)
# `AWS-DeleteCloudFormationStack`
**Description**
Supprimez une CloudFormation pile.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-DeleteCloudFormationStack)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ StackNameOrId
Type : Chaîne
Description : (obligatoire) Nom ou identifiant unique de la CloudFormation pile à supprimer
# `AWS-EnableCloudFormationSNSNotification`
**Description**
Le `AWS-EnableCloudFormationSNSNotification` runbook active les notifications Amazon Simple Notification Service (Amazon SNS) pour la pile AWS CloudFormation (CloudFormation) que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableCloudFormationStackSNSNotification)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ StackArn
Type : String
Description : (Obligatoire) L'ARN ou le nom de la CloudFormation pile pour laquelle vous souhaitez activer les notifications Amazon SNS.
+ NotificationArn
Type : String
Description : (Obligatoire) L'ARN de la rubrique Amazon SNS que vous souhaitez associer à la CloudFormation pile.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ SMS : GetAutomationExecution
+ SMS : StartAutomationExecution
+ formation des nuages : DescribeStacks
+ formation des nuages : UpdateStack
+ kms:Decrypt
+ km : GenerateDataKey
+ sns:Publish
+ sqs : GetQueueAttributes
**Étapes de document**
+ CheckCfnSnsLimits (`aws:executeScript`) - Vérifie que le nombre maximum de sujets Amazon SNS n'a pas déjà été associé à CloudFormation la pile que vous spécifiez.
+ EnableCfnSnsNotification (`aws:executeAwsApi`) - Active les notifications Amazon SNS pour la CloudFormation pile.
+ VerificationCfnSnsNotification (`aws:executeScript`) - Vérifie que les notifications Amazon SNS ont été activées pour CloudFormation la pile.
**Sorties**
CheckCfnSnsLimits. NotificationArnList - Une liste de ceux ARNs qui reçoivent des notifications Amazon SNS pour la CloudFormation pile.
VerificationCfnSnsNotification. VerifySnsTopicsResponse - Réponse de l'opération d'API confirmant que les notifications Amazon SNS ont été activées pour la CloudFormation pile.
# `AWS-RunCfnLint`
**Description**
Ce runbook utilise un [AWS CloudFormation Linter](https://github.com/aws-cloudformation/cfn-python-lint) (`cfn-python-lint`) pour valider les modèles YAML et JSON par rapport à la CloudFormation spécification des ressources. Le `AWS-RunCfnLint` runbook effectue des vérifications supplémentaires, notamment en s'assurant que des valeurs valides ont été saisies pour les propriétés des ressources. Si la validation échoue, l'étape `RunCfnLintAgainstTemplate` échoue et la sortie de l'outil linter est fournie dans un message d'erreur. Ce runbook utilise cfn-lint v0.24.4.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-RunCfnLint)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ ConfigureRuleFlag
Type : String
Description : (Facultatif) Options de configuration d'une règle à transmettre au paramètre `--configure-rule`.
Exemple : E2001:strict=false, E3012:strict=false.
+ FormatFlag
Type : String
Description : (Facultatif) Valeur à transmettre au paramètre `--format` pour spécifier le format de sortie.
Valeurs valides : Default \$1 quiet \$1 parseable \$1 json
Par défaut : Default
+ IgnoreChecksFlag
Type : String
Description : (Facultatif) IDs des règles à transmettre au paramètre --ignore-checks. Ces règles ne sont pas vérifiées.
Exemple : E1001, E1003, W7001
+ IncludeChecksFlag
Type : String
Description : (Facultatif) IDs des règles à transmettre au `--include-checks` paramètre. Ces règles sont vérifiées.
Exemple : E1001, E1003, W7001
+ InfoFlag
Type : String
Description : (Facultatif) Option du paramètre `--info`. Incluez l'option permettant d'activation des informations de journalisation supplémentaires sur le traitement du modèle.
Valeur par défaut : false
+ TemplateFileName
Type : String
Description : Nom, ou clé, du fichier modèle dans le compartiment S3.
+ Modèles 3 BucketName
Type : String
Description : Nom du compartiment S3 contenant le modèle de packer.
+ RegionsFlag
Type : String
Description : (Facultatif) Valeurs à transmettre au `--regions` paramètre for pour tester le modèle par rapport à celui spécifié Régions AWS.
Exemple : us-east-1, us-west-1
**Étapes de document**
RunCfnLintAgainstTemplate — Exécute l'`cfn-python-lint`outil sur le CloudFormation modèle spécifié.
**Sorties**
RunCfnLintAgainstTemplate.output — La sortie standard de l'outil. `cfn-python-lint`
# `AWSSupport-TroubleshootCFNCustomResource`
**Description**
Le `AWSSupport-TroubleshootCFNCustomResource` runbook permet de diagnostiquer pourquoi une AWS CloudFormation pile a échoué lors de la création, de la mise à jour ou de la suppression d'une ressource personnalisée. Le runbook vérifie le jeton de service utilisé pour la ressource personnalisée et le message d'erreur renvoyé. Après avoir examiné les détails de la ressource personnalisée, la sortie du runbook fournit une explication du comportement de la pile et des étapes de dépannage pour la ressource personnalisée.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootCFNCustomResource)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ StackName
Type : String
Description : (Obligatoire) Nom de la CloudFormation pile où la ressource personnalisée a échoué.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `cloudformation:DescribeStacks`
+ `cloudformation:DescribeStackEvents`
+ `cloudformation:ListStackResources`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeNatGateways`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeVpcs`
+ `ec2:DescribeVpcEndpoints`
+ `ec2:DescribeSubnets`
+ `logs:FilterLogEvents`
**Étapes de document**
+ `validateCloudFormationStack`- Vérifie que la CloudFormation pile existe dans le même Compte AWS et Région AWS.
+ `checkCustomResource`- Analyse la CloudFormation pile, vérifie la ressource personnalisée défaillante et produit des informations sur la manière de résoudre le problème de la ressource personnalisée défaillante.
# `AWS-UpdateCloudFormationStack`
**Description**
Mettez à jour une AWS CloudFormation pile à l'aide d'un CloudFormation modèle stocké dans un compartiment Amazon S3.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-UpdateCloudFormationStack)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ LambdaAssumeRole
Type : Chaîne
Description : (Obligatoire) L'ARN du rôle assumé par Lambda
+ StackNameOrId
Type : Chaîne
Description : (Obligatoire) Nom ou ID unique de la CloudFormation pile à mettre à jour
+ TemplateUrl
Type : Chaîne
Description : (obligatoire) Emplacement du compartiment S3 contenant le CloudFormation modèle mis à jour (par ex. `https://s3.amazonaws.com/amzn-s3-demo-bucket2/updated.template)`
# CloudFront
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon CloudFront. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSConfigRemediation-EnableCloudFrontDefaultRootObject`](automation-aws-enable-cloudfront-root-object.md)
+ [`AWSConfigRemediation-EnableCloudFrontAccessLogs`](automation-aws-enable-cloudfront-access-logs.md)
+ [`AWSConfigRemediation-EnableCloudFrontOriginAccessIdentity`](automation-aws-enable-cloudfront-origin-access.md)
+ [`AWSConfigRemediation-EnableCloudFrontOriginFailover`](automation-aws-enable-cloudfront-failover.md)
+ [`AWSConfigRemediation-EnableCloudFrontViewerPolicyHTTPS`](automation-aws-enable-cloudfront-viewer-policy.md)
# `AWSConfigRemediation-EnableCloudFrontDefaultRootObject`
**Description**
Le `AWSConfigRemediation-EnableCloudFrontDefaultRootObject` runbook configure l'objet racine par défaut pour la distribution Amazon CloudFront (CloudFront) que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableCloudFrontDefaultRootObject)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ CloudFrontDistributionId
Type : String
Description : (Obligatoire) L'ID de la CloudFront distribution pour laquelle vous souhaitez configurer l'objet racine par défaut.
+ DefaultRootObject
Type : String
Description : (Obligatoire) L'objet que vous CloudFront souhaitez renvoyer lorsqu'une demande d'affichage pointe vers votre URL racine.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `cloudfront:GetDistributionConfig`
+ `cloudfront:UpdateDistribution`
**Étapes de document**
+ `aws:executeScript`- Configure l'objet racine par défaut pour la CloudFront distribution que vous spécifiez dans le `CloudFrontDistributionId` paramètre.
# `AWSConfigRemediation-EnableCloudFrontAccessLogs`
**Description**
Le `AWSConfigRemediation-EnableCloudFrontAccessLogs` runbook active la journalisation des accès pour la distribution Amazon CloudFront (CloudFront) que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableCloudFrontAccessLogs)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ BucketName
Type : String
Description : (Obligatoire) Le nom du compartiment Amazon Simple Storage Service (Amazon S3) dans lequel vous souhaitez stocker les données d'accès se connecte. Les buckets des répertoires af-south-1, ap-east-1, eu-south-1 et me-south-1 ne sont pas pris en charge. Région AWS
+ CloudFrontId
Type : String
Description : (Obligatoire) L'ID de la CloudFront distribution à laquelle vous souhaitez autoriser l'accès et la connexion.
+ IncludeCookies
Type : booléen
Valeurs valides : true \$1 false
Description : (Obligatoire) Définissez ce paramètre sur`true`, si vous souhaitez que les cookies soient inclus dans les journaux d'accès.
+ Préfixe
Type : String
Description : (Facultatif) Chaîne facultative que vous CloudFront souhaitez préfixer dans le journal `filenames` d'accès de votre distribution, `myprefix/` par exemple.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `cloudfront:GetDistribution`
+ `cloudfront:GetDistributionConfig`
+ `cloudfront:UpdateDistribution`
+ `s3:GetBucketLocation`
+ `s3:GetBucketAcl`
+ `s3:PutBucketAcl`
**Note**
L'`s3:GetBucketLocation`API ne peut être utilisée que pour les compartiments S3 d'un même compte. Vous ne pouvez pas l'utiliser pour les compartiments S3 entre comptes.
**Étapes de document**
+ `aws:executeScript`- Active la journalisation des accès pour la CloudFront distribution que vous spécifiez dans le `CloudFrontDistributionId` paramètre.
# `AWSConfigRemediation-EnableCloudFrontOriginAccessIdentity`
**Description**
Le `AWSConfigRemediation-EnableCloudFrontOriginAccessIdentity` runbook active l'identité d'accès à l'origine pour la distribution Amazon CloudFront (CloudFront) que vous spécifiez. Cette automatisation attribue la même identité CloudFront d'accès à l'origine à toutes les origines du type d'origine Amazon Simple Storage Service (Amazon S3) sans identité d'accès à l'origine pour CloudFront la distribution que vous spécifiez. Cette automatisation n'accorde pas d'autorisation de lecture à l'identité d'accès d'origine CloudFront pour accéder aux objets de votre compartiment Amazon S3. Vous devez mettre à jour les autorisations de votre compartiment Amazon S3 pour autoriser l'accès.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableCloudFrontOriginAccessIdentity)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ CloudFrontDistributionId
Type : String
Description : (Obligatoire) L'ID de la CloudFront distribution sur laquelle vous souhaitez activer le basculement d'origine.
+ OriginAccessIdentityId
Type : String
Description : (Obligatoire) L'ID de l'identité CloudFront d'accès à l'origine à associer à l'origine.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `cloudfront:GetDistributionConfig`
+ `cloudfront:UpdateDistribution`
**Étapes de document**
+ `aws:executeScript`- Active l'identité d'accès à l'origine pour la CloudFront distribution que vous spécifiez dans le `CloudFrontDistributionId` paramètre et vérifie que l'identité d'accès à l'origine a été attribuée.
# `AWSConfigRemediation-EnableCloudFrontOriginFailover`
**Description**
Le `AWSConfigRemediation-EnableCloudFrontOriginFailover` runbook permet le basculement d'origine pour la distribution Amazon CloudFront (CloudFront) que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableCloudFrontOriginFailover)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ CloudFrontDistributionId
Type : String
Description : (Obligatoire) L'ID de la CloudFront distribution sur laquelle vous souhaitez activer le basculement d'origine.
+ OriginGroupId
Type : String
Description : (Obligatoire) L'ID du groupe d'origine.
+ PrimaryOriginId
Type : String
Description : (Obligatoire) L'ID de l'origine principale dans le groupe d'origine.
+ SecondaryOriginId
Type : String
Description : (Obligatoire) L'ID de l'origine secondaire dans le groupe d'origine.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `cloudfront:GetDistributionConfig`
+ `cloudfront:UpdateDistribution`
**Étapes de document**
+ `aws:executeScript`- Active le basculement d'origine pour la CloudFront distribution que vous spécifiez dans le `CloudFrontDistributionId` paramètre et vérifie que le basculement a été activé.
# `AWSConfigRemediation-EnableCloudFrontViewerPolicyHTTPS`
**Description**
Le `AWSConfigRemediation-EnableCloudFrontViewerPolicyHTTPS` runbook active la politique de protocole de visualisation pour la distribution Amazon CloudFront (CloudFront) que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableCloudFrontViewerPolicyHTTPS)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ CloudFrontDistributionId
Type : String
Description : (Obligatoire) L'ID de la CloudFront distribution pour laquelle vous souhaitez activer la politique de protocole de visualisation.
+ ViewerProtocolPolicy
Type : String
Valeurs valides : https uniquement, redirect-to-https
Description : (Obligatoire) Protocole que les utilisateurs peuvent utiliser pour accéder aux fichiers de l'origine.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `cloudfront:GetDistributionConfig`
+ `cloudfront:UpdateDistribution`
+ `cloudfront:GetDistribution`
**Étapes de document**
+ `aws:executeScript`- Active la politique de protocole de visualisation pour la CloudFront distribution que vous spécifiez dans le `CloudFrontDistributionId` paramètre et vérifie que la politique a été attribuée.
# CloudTrail
AWS Systems Manager L'automatisation fournit des runbooks prédéfinis pour AWS CloudTrail. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSConfigRemediation-CreateCloudTrailMultiRegionTrail`](automation-aws-create-ct-mr.md)
+ [`AWS-EnableCloudTrail`](automation-aws-enablecloudtrail.md)
+ [`AWS-EnableCloudTrailCloudWatchLogs`](enable-cloudtrail-cloudwatch-logs.md)
+ [`AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS`](automation-aws-ctrail-kms.md)
+ [`AWS-EnableCloudTrailKmsEncryption`](enable-cloudtrail-kms-encryption.md)
+ [`AWSConfigRemediation-EnableCloudTrailLogFileValidation`](automation-aws-enable-ctrail-log-validation.md)
+ [`AWS-EnableCloudTrailLogFileValidation`](enable-cloudtrail-log-validation.md)
+ [`AWS-QueryCloudTrailLogs`](aws-querycloudtraillogs.md)
# `AWSConfigRemediation-CreateCloudTrailMultiRegionTrail`
**Description**
Le `AWSConfigRemediation-CreateCloudTrailMultiRegionTrail` runbook crée un journal AWS CloudTrail (CloudTrail) qui fournit des fichiers journaux provenant de plusieurs fichiers Régions AWS au bucket Amazon Simple Storage Service (Amazon S3) de votre choix.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-CreateCloudTrailMultiRegionTrail)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ BucketName
Type : String
Description : (Obligatoire) Le nom du compartiment Amazon S3 dans lequel vous souhaitez télécharger les journaux.
+ KeyPrefix
Type : String
Description : (Facultatif) Le préfixe de clé Amazon S3 qui suit le nom du compartiment que vous avez désigné pour la livraison du fichier journal.
+ TrailName
Type : String
Description : (Obligatoire) Le nom du CloudTrail parcours à créer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `cloudtrail:CreateTrail`
+ `cloudtrail:StartLogging`
+ `cloudtrail:GetTrail`
+ `s3:PutObject`
+ `s3:GetBucketAcl`
+ `s3:PutBucketLogging`
+ `s3:ListBucket`
**Étapes de document**
+ `aws:executeAwsApi`- Accepte le nom du sentier et le nom du compartiment Amazon S3 en entrée et crée un CloudTrail suivi.
+ `aws:executeAwsApi`- Active la connexion au journal créé et lance la livraison du journal vers le compartiment Amazon S3 que vous avez spécifié.
+ `aws:assertAwsResourceProperty`- Vérifie que le CloudTrail parcours a été créé.
# `AWS-EnableCloudTrail`
**Description**
Créez un journal AWS CloudTrail et configurez la journalisation dans un compartiment S3.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableCloudTrail)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ S3 BucketName
Type : Chaîne
Description : (obligatoire) nom du compartiment S3 désigné pour publier des fichiers journaux.
**Note**
Le compartiment S3 doit exister et la politique du compartiment doit CloudTrail autoriser l'écriture dans celui-ci. Pour plus d'informations, consultez la [politique relative aux compartiments Amazon S3 pour CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-s3-bucket-policy-for-cloudtrail.html).
+ TrailName
Type : Chaîne
Description : (Obligatoire) nom du nouveau suivi.
# `AWS-EnableCloudTrailCloudWatchLogs`
**Description**
Ce runbook met à jour la configuration d'un ou de plusieurs AWS CloudTrail sentiers pour envoyer des événements à un groupe de CloudWatch journaux Amazon Logs.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableCloudTrailCloudWatchLogs)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ CloudWatchLogsLogGroupArn
Type : String
Description : (Obligatoire) L'ARN du groupe de CloudWatch journaux dans lequel les CloudTrail journaux seront livrés.
+ CloudWatchLogsRoleArn
Type : String
Description : (Obligatoire) L'ARN du rôle IAM CloudWatch Logs Logs suppose d'écrire dans le groupe de journaux spécifié.
+ TrailNames
Type : StringList
Description : (Obligatoire) Liste séparée par des virgules des noms des CloudTrail sentiers dont vous souhaitez envoyer les événements à CloudWatch Logs.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `cloudtrail:UpdateTrail`
+ `iam:PassRole`
**Étapes de document**
+ `aws:executeScript`- Met à jour les CloudTrail traces spécifiées pour transmettre les événements au groupe de CloudWatch journaux Logs spécifié.
# `AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS`
**Description**
Le `AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS` runbook chiffre une trace AWS CloudTrail (CloudTrail) à l'aide de la clé gérée par le client AWS Key Management Service (AWS KMS) que vous spécifiez. Ce runbook ne doit être utilisé que comme base de référence pour garantir que vos CloudTrail pistes sont cryptées conformément aux meilleures pratiques de sécurité minimales recommandées. Nous recommandons de chiffrer plusieurs pistes avec différentes clés KMS. CloudTrail les fichiers de synthèse ne sont pas chiffrés. Si vous avez déjà défini le `EnableLogFileValidation` paramètre sur `true` pour le suivi, consultez la section « Utiliser le chiffrement côté serveur avec des clés AWS KMS gérées » de la rubrique [Bonnes pratiques de sécurité CloudTrail préventive](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/best-practices-security.html#best-practices-security-preventative) du *Guide de l'AWS CloudTrail utilisateur* pour plus d'informations.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableCloudTrailEncryptionWithKMS)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ KMSKeyId
Type : String
Description : (Obligatoire) L'ARN, l'ID de clé ou l'alias de clé de la clé gérée par le client que vous souhaitez utiliser pour chiffrer le suivi que vous spécifiez dans le `TrailName` paramètre.
+ TrailName
Type : String
Description : (Obligatoire) L'ARN ou le nom de la piste que vous souhaitez mettre à jour pour qu'il soit chiffré.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `cloudtrail:GetTrail`
+ `cloudtrail:UpdateTrail`
**Étapes de document**
+ `aws:executeAwsApi`- Active le chiffrement sur la piste que vous spécifiez dans le `TrailName` paramètre.
+ `aws:executeAwsApi`- Rassemble l'ARN de la clé gérée par le client que vous spécifiez dans le `KMSKeyId` paramètre.
+ `aws:assertAwsResourceProperty`- Vérifie que le chiffrement a été activé sur le CloudTrail parcours.
# `AWS-EnableCloudTrailKmsEncryption`
**Description**
Ce runbook met à jour la configuration d'un ou de plusieurs AWS CloudTrail sentiers pour utiliser le chiffrement AWS Key Management Service (AWS KMS).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableCloudTrailKmsEncryption)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ KMSKeyId
Type : String
Description : (Obligatoire) L'ID de la clé gérée par le client que vous souhaitez utiliser pour chiffrer le suivi que vous spécifiez dans le `TrailName` paramètre. La valeur peut être un nom d'alias préfixé par « alias/ », un ARN entièrement spécifié pour un alias ou un ARN entièrement spécifié pour une clé.
+ TrailNames
Type : StringList
Description : (Obligatoire) Liste séparée par des virgules des pistes que vous souhaitez mettre à jour pour qu'elles soient chiffrées.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `cloudtrail:UpdateTrail`
+ `kms:DescribeKey`
+ `kms:ListKeys`
**Étapes de document**
+ `aws:executeScript`- Active le AWS KMS chiffrement sur les pistes que vous spécifiez dans le `TrailName` paramètre.
# `AWSConfigRemediation-EnableCloudTrailLogFileValidation`
**Description**
Le `AWSConfigRemediation-EnableCloudTrailLogFileValidation` runbook permet de valider le fichier journal de votre AWS CloudTrail parcours.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableCloudTrailLogFileValidation)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ TrailName
Type : String
Description : (Obligatoire) Le nom ou le nom de ressource Amazon (ARN) du journal pour lequel vous souhaitez activer la validation du journal.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `cloudtrail:GetTrail`
+ `cloudtrail:UpdateTrail`
**Étapes de document**
+ `aws:executeAwsApi`- Active la validation du journal pour le AWS CloudTrail parcours que vous spécifiez dans le `TrailName` paramètre.
+ `aws:assertAwsResourceProperty`- Vérifie que la validation du journal est activée pour votre parcours.
# `AWS-EnableCloudTrailLogFileValidation`
**Description**
Le `AWS-EnableCloudTrailLogFileValidation` runbook permet de valider le fichier journal pour les AWS CloudTrail sentiers que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableCloudTrailLogFileValidation)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ TrailNames
Type : StringList
Description : (Obligatoire) Liste séparée par des virgules des noms des CloudTrail sentiers pour lesquels vous souhaitez activer la validation du journal.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `cloudtrail:GetTrail`
+ `cloudtrail:UpdateTrail`
**Étapes de document**
+ `aws:executeScript`- Active la validation du journal pour les AWS CloudTrail sentiers que vous spécifiez dans le `TrailNames` paramètre.
# `AWS-QueryCloudTrailLogs`
**Description**
Le `AWS-QueryCloudTrailLogs` runbook crée une table Amazon Athena à partir du bucket Amazon Simple Storage Service (Amazon S3) de votre choix contenant des journaux (). AWS CloudTrail CloudTrail Après avoir créé la table, l'automatisation exécute les requêtes SQL que vous spécifiez, puis supprime la table.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-QueryCloudTrailLogs)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Requête
Type : String
Description : (Obligatoire) La requête SQL que vous souhaitez exécuter.
+ SourceBucketPath
Type : String
Description : (Obligatoire) Le nom du compartiment Amazon S3 contenant les fichiers CloudTrail journaux que vous souhaitez interroger.
+ TableName
Type : String
Description : (Facultatif) Nom de la table Athena créée par l'automatisation.
Par défaut : cloudtrail\$1logs
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `athena:GetQueryResults`
+ `athena:GetQueryExecution`
+ `athena:StartQueryExecution`
+ `glue:CreateTable`
+ `glue:DeleteTable`
+ `glue:GetDatabase`
+ `glue:GetPartitions`
+ `glue:GetTable`
+ `s3:AbortMultipartUpload`
+ `s3:CreateBucket`
+ `s3:GetBucketLocation`
+ `s3:GetObject`
+ `s3:ListBucket`
+ `s3:ListBucketMultipartUploads`
+ `s3:ListMultipartUploadParts`
+ `s3:PutObject`
**Étapes de document**
+ `aws:executeAwsApi`- Crée une table Athéna.
+ `aws:executeAwsApi`- Exécute la chaîne de requête que vous spécifiez dans le `Query` paramètre.
+ `aws:executeScript`- Interroge et attend que la requête soit terminée.
+ `aws:executeAwsApi`- Récupère les résultats de la requête.
+ `aws:executeAwsApi`- Supprime le tableau créé par l'automatisation.
# CloudWatch
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon CloudWatch. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-ConfigureCloudWatchOnEC2Instance`](automation-aws-configurecloudwatchonec2instance.md)
+ [`AWS-EnableCWAlarm`](enable-cw-alarm.md)
+ [`AWSSupport-TroubleshootCloudWatchAgent`](automation-aws-troubleshootcloudwatchagent.md)
+ [`AWSSupport-TroubleshootCloudWatchAlarm`](automation-awssupport-troubleshoot-cloudwatchalarm.md)
# `AWS-ConfigureCloudWatchOnEC2Instance`
**Description**
Activez ou désactivez la surveillance CloudWatch détaillée d'Amazon sur les instances gérées.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-ConfigureCloudWatchOnEC2Instance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : String
Description : (Obligatoire) L'ID de l' EC2 instance Amazon sur laquelle vous souhaitez activer la CloudWatch surveillance.
+ propriétés
Type : String
Description : (Facultatif) Ce paramètre n'est pas pris en charge. Répertorié ici pour des raisons de compatibilité descendante.
+ status
Valeurs valides : Activé \$1 Désactivé
Description : (Facultatif) spécifie s'il convient d'activer ou de désactiver CloudWatch.
Par défaut : Enabled
**Étapes de document**
configureCloudWatch - Se configure CloudWatch sur l' EC2 instance Amazon avec le statut indiqué.
**Sorties**
Cette automatisation n'a aucune sortie.
# `AWS-EnableCWAlarm`
**Description**
Le `AWS-EnableCWAlarm` runbook crée des alarmes Amazon CloudWatch (CloudWatch) pour les AWS ressources de votre ordinateur Compte AWS qui n'en possèdent pas déjà une. CloudWatch des alarmes sont créées pour les AWS ressources suivantes :
+ Instances Amazon Elastic Compute Cloud (Amazon EC2)
+ Volumes Amazon Elastic Block Store (Amazon EBS)
+ Compartiments Amazon Simple Storage Service (Amazon S3)
+ Clusters Amazon Relational Database Service (Amazon RDS)
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableCWAlarm)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ ComparisonOperator
Type : String
Valeurs valides : GreaterThanOrEqualToThreshold \$1 GreaterThanThreshold \$1 GreaterThanUpperThreshold \$1 LessThanLowerOrGreaterThanUpperThreshol \$1 LessThanLowerThreshold \$1 LessThanOrEqualToThreshold \$1 LessThanThreshold
Description : (Obligatoire) Opération arithmétique à utiliser lors de la comparaison de la statistique et du seuil spécifiés.
+ MetricName
Type : String
Description : (Obligatoire) Nom de la métrique associée à l'alarme.
+ Période
Type : entier
Valeurs valides : 10 \$1 30 \$1 60 \$1 Un multiple de 60
Description : (Obligatoire) Période, en secondes, sur laquelle la statistique est appliquée.
+ Ressource ARNs
Type : StringList
Description : (Obligatoire) Liste séparée par des virgules ARNs des ressources pour lesquelles créer une CloudWatch alarme
+ Statistique
Type : String
Valeurs valides : Moyenne \$1 Maximum \$1 Minimum \$1 SampleCount \$1 Somme
Description : (Obligatoire) La statistique de la métrique associée à l'alarme.
+ Seuil
Type : entier
Description : (Obligatoire) La valeur à comparer avec la statistique spécifiée.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `cloudwatch:PutMetricAlarm`
**Étapes de document**
+ `aws:executeScript`- Crée une CloudWatch alarme en fonction des valeurs spécifiées dans les paramètres du runbook pour les ressources que vous spécifiez dans le `ResourceARNs` paramètre.
**Sorties**
ActiverCWAlarm. FailedResources: liste des ressources ARNs pour lesquelles aucune CloudWatch alarme n'a été créée et la raison de l'échec.
ActiverCWAlarm. SuccessfulResources: liste des ressources ARNs pour lesquelles une CloudWatch alarme a été créée avec succès.
# `AWSSupport-TroubleshootCloudWatchAgent`
**Description**
Le **AWSSupport-TroubleshootCloudWatchAgent**runbook automatise le dépannage de l' CloudWatch agent Amazon sur vos instances Amazon Elastic Compute Cloud (Amazon EC2). Le runbook effectue ce dépannage par le biais d'une série de vérifications de base et (facultatives) étendues.
Les contrôles de base sont les suivants :
+ Rechercher un profil d'instance Gestion des identités et des accès AWS (IAM)
+ Vérifiez si les autorisations IAM Amazon CloudWatch Agent nécessaires sont associées à l'instance Amazon EC2
Les contrôles étendus ne sont effectués que si l'ID d'instance Amazon EC2 fourni est une instance gérée par Systems Manager. Ces contrôles étendus incluent les suivants :
+ Vérifiez le statut de l' CloudWatch agent Amazon sur l'instance
+ Analysez les journaux de l' CloudWatch agent Amazon pour détecter les problèmes courants et les étapes de dépannage pertinentes
+ Compressez les journaux et les fichiers de configuration pertinents sur l'instance Amazon EC2 et téléchargez-les éventuellement dans un compartiment Amazon Simple Storage Service (Amazon S3) de votre choix
+ Effectuez un contrôle de connectivité entre l'instance et les points de terminaison requis
**Important**
Lorsque le `RunVpcReachabilityAnalyzer` paramètre est défini sur`true`, ce runbook déterminera s'il est nécessaire d'appeler le runbook enfant,. `AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2` Le runbook enfant utilise l'Analyzer de Reachability Analyzer VPC, qui a un coût associé. Pour plus d'informations sur la tarification, consultez la documentation de [tarification d'Amazon VPC](https://aws.amazon.com/vpc/pricing/).
**Important**
Ce runbook vérifie uniquement les autorisations nécessaires dans votre rôle de profil d'instance IAM. Si vous vous fiez plutôt aux informations d'identification définies dans un `.aws/credentials` fichier, les résultats de l'`verifyIamPermissions`étape risquent d'être inexacts.
**Fonctionnement**
Le runbook exécute les étapes suivantes :
+ **getInstanceProfile**: Vérifie si un profil d'instance IAM est attaché à l'instance Amazon EC2 fournie.
+ **verifyIamPermissions**: Vérifie le profil d'instance associé à l'instance pour déterminer si les autorisations IAM nécessaires sont appliquées.
+ **getInstanceInformation**: Vérifie si l'instance possède un agent Systems Manager actif et récupère le type de système d'exploitation de l'instance.
+ **getAgentStatus**: Vérifie le statut de l' CloudWatch agent Amazon sur l'instance (vérification étendue).
+ **AnalyzeLogs/ analyzeLogsWindows** : analyse et génère les résultats des journaux Amazon CloudWatch Agent en fonction du type de système d'exploitation.
+ **CollectLogs/ collectLogsWindows** : regroupe et génère les fichiers de dépannage pertinents de l' CloudWatch agent Amazon en fonction du type de système d'exploitation.
+ **checkEndpointReachability/checkEndpointReachabilityWindows** : vérifie si l'instance peut atteindre les points de terminaison requis en fonction du type de système d'exploitation.
+ **analyzeAwsEndpointReachabilityFromEC2**: Appelle le runbook d'automatisation des enfants pour vérifier l'accessibilité de l'instance sélectionnée aux points de terminaison requis (si activé).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootCloudWatchAgent)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
/
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ EC2 : DescribeInstances
+ iam : GetInstanceProfile
+ iam : GetRole
+ iam : ListAttachedRolePolicies
+ iam : ListRolePolicies
+ iam : GetRolePolicy
+ iam : GetPolicy
+ iam : GetPolicyVersion
+ iam : SimulatePrincipalPolicy
+ SMS : DescribeInstanceInformation
+ SMS : SendCommand
+ SMS : GetCommandInvocation
+ SMS : DescribeInstanceAssociationsStatus
+ SMS : StartAutomationExecution
Exemple de politique :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"iam:GetInstanceProfile",
"iam:GetRole",
"iam:ListAttachedRolePolicies",
"iam:ListRolePolicies",
"iam:GetRolePolicy",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:SimulatePrincipalPolicy",
"ssm:DescribeInstanceInformation",
"ssm:SendCommand",
"ssm:GetCommandInvocation",
"ssm:DescribeInstanceAssociationsStatus",
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
```
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootCloudWatchAgent/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootCloudWatchAgent/description)à Systems Manager sous Documents.
1. Sélectionnez **Execute automation** (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
+ Description : (Facultatif) L'ARN du rôle IAM qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Type : `AWS::IAM::Role::Arn`
+ **InstanceId (Obligatoire) :**
+ Description : (Obligatoire) L'ID de l'instance Amazon EC2 sur laquelle vous souhaitez dépanner l'agent Amazon CloudWatch .
+ Type : `AWS::EC2::Instance::Id`
+ Autoriser le modèle : `^i-[0-9a-f]{8,17}$`
+ **S3 UploadBucket (facultatif) :**
+ Description : (Facultatif) Le nom d'un compartiment Amazon S3 pour télécharger les journaux Amazon CloudWatch Agent collectés. Le profil d'instance Amazon EC2 doit disposer des autorisations appropriées pour charger des fichiers dans ce compartiment. Cela nécessite également que l'instance Amazon EC2 cible soit une instance gérée par Systems Manager.
+ Type : `AWS::S3::Bucket::Name`
+ Autoriser le modèle : `^$|^[a-z0-9][a-z0-9.-]{1,61}[a-z0-9]$`
+ Valeur par défaut : `""`
+ **S3 BucketOwnerAccountId (facultatif) :**
+ Description : (Facultatif) Le numéro de AWS compte propriétaire du compartiment Amazon S3 dans lequel vous souhaitez télécharger les journaux Amazon CloudWatch Agent. Si vous ne modifiez pas ce paramètre, les runbooks utilisent l'ID de AWS compte de l'utilisateur ou du rôle dans lequel l'automatisation s'exécute.
+ Type : `String`
+ Autoriser le modèle : `^\\{\\{ global:ACCOUNT_ID \\}\\}$|^[0-9]{12}$`
+ Valeur par défaut : `{{ global:ACCOUNT_ID }}`
+ **Vérifiez le EC2 point de terminaison (facultatif) :**
+ Description : (Facultatif) Spécifiez `true` si la configuration de votre agent utilise l'option `append_dimensions` permettant d'ajouter des dimensions métriques Amazon EC2 aux métriques collectées par l'agent. Lorsqu'il `append_dimensions` est utilisé, l' CloudWatch agent Amazon nécessite une connectivité au point de terminaison de l'API Amazon EC2. Des tests de connectivité supplémentaires seront donc effectués via les contrôles étendus.
+ Type : `String`
+ Valeurs autorisées : `[true, false]`
+ Valeur par défaut : `false`
+ **RunVpcReachabilityAnalyzer (Facultatif) :**
+ Description : (Facultatif) Spécifiez `true` l'`AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2`exécution de l'automatisation secondaire si un problème réseau est déterminé par les vérifications étendues ou si l'ID d'instance spécifié n'est pas une instance gérée.
+ Type : `Boolean`
+ Valeur par défaut : `false`
+ **RetainVpcReachabilityAnalysis (Facultatif) :**
+ Description : (Facultatif) Pertinent uniquement si tel `RunVpcReachabilityAnalyzer` est le cas`true`. Spécifiez `true` pour conserver le chemin d'accès au réseau et les analyses associées créées par VPC Reachability Analyzer. Par défaut, ces ressources sont supprimées après une analyse réussie.
+ Type : `Boolean`
+ Valeur par défaut : `false`
1. Sélectionnez **Exécuter**.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **getInstanceProfile**:
Vérifie si un profil d'instance IAM est attaché à l'instance Amazon EC2 fournie.
+ **branchOnInstanceProfileStatus**:
Branche l'automatisation pour vérifier les autorisations de profil d'instance nécessaires si le profil d'instance est attaché à l'instance.
+ **verifyIamPermissions**:
Vérifie le profil d'instance associé à l'instance pour déterminer si les autorisations IAM nécessaires sont appliquées.
+ **getInstanceInformation**:
Vérifie si l'instance possède un agent Systems Manager actif et extrait le type de système d'exploitation de l'instance.
+ **branchOnManagedInstance** :
Branche l'automatisation pour effectuer des vérifications étendues si l'instance est gérée.
+ **getAgentStatus**:
Vérifie le statut de l' CloudWatch agent Amazon sur l'instance.
+ **branchOnInstanceOsType**:
Branche l'automatisation pour exécuter une collection/analysis commande de journal spécifique en fonction du système d'exploitation.
+ Journaux **d'analyse/ : analyzeLogsWindows**
Analyse et génère les résultats des journaux Amazon CloudWatch Agent en fonction du type de système d'exploitation.
+ **Collectez les logs/ collectLogsWindows** :
Regroupe et génère les fichiers de dépannage Amazon CloudWatch Agent pertinents en fonction du type de système d'exploitation.
+ **checkEndpointReachability/checkEndpointReachabilityFenêtres** :
Vérifie si l'instance peut atteindre les points de terminaison requis en fonction du type de système d'exploitation.
+ **branchOnRunVpcReachabilityAnalyzer**:
Branche l'automatisation pour exécuter une analyse de l'accessibilité des VPC si cette option est activée et que des problèmes de réseau sont détectés.
+ **Générez des points de terminaison** :
Génère un point de terminaison à vérifier à partir des échecs de vérification étendus et de la valeur de`CheckEC2Endpoint`.
+ **analyzeAwsEndpointReachabilityFromEC2**:
Appelle le runbook d'automatisation `AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2` pour vérifier l'accessibilité de l'instance sélectionnée aux points de terminaison requis.
+ **Conclusions relatives aux résultats :**
Affiche les résultats des étapes d'exécution de l'automatisation.
1. Une fois l'exécution terminée, consultez la section **Sorties** pour connaître les résultats détaillés de l'exécution.
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootCloudWatchAgent/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Support des flux de travail automatisés](https://aws.amazon.com/premiumsupport/technology/saw/)
# `AWSSupport-TroubleshootCloudWatchAlarm`
**Description**
Le `AWSSupport-TroubleshootCloudWatchAlarm` runbook permet d'identifier et de résoudre les problèmes liés à des alarmes Amazon CloudWatch () CloudWatch mal configurées ou problématiques. Il utilise une logique d'évaluation des alarmes publique AWS APIs et connue pour détecter les points de données retardés ou manquants dans les métriques surveillées, ce qui peut entraîner des actions d'alarme manquées ou retardées. Ce runbook propose une approche structurée pour étudier et résoudre les problèmes liés à Amazon CloudWatch (CloudWatch) Alarm.
**Fonctionnement**
Le runbook `AWSSupport-TroubleshootCloudWatchAlarm` exécute les étapes suivantes :
+ Vérifie les détails de l'alarme Amazon CloudWatch (CloudWatch) et la valeur du `AlarmTriggerTimestamp` paramètre pour vérifier si elle se situe dans les 2 592 000 secondes (30 jours).
+ Vérifie si une alarme est basée sur une métrique ou des mathématiques métriques ou s'il s'agit d'une alarme de détection d'anomalie.
+ Vérifie si l'état des données d'une alarme est insuffisant.
+ Vérifie si la ou les métriques utilisées dans l'alarme correspondent à `ListMetrics` la valeur.
+ Vérifie s'il manquait un ou plusieurs points de données à une métrique à un horodatage donné.
+ Obtient l'historique le plus récent pour un horodatage donné.
+ Vérifie si une alarme ne s'est pas déclenchée en raison d'un ou de plusieurs indicateurs retardés ou manqués.
+ Vérifie si les actions activées d'une alarme ont was/were été effectuées.
+ Génère un rapport de dépannage combinant tous les résultats de diagnostic.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootCloudWatchAlarm)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `cloudwatch:DescribeAlarms`
+ `cloudwatch:DescribeAlarmHistory`
+ `cloudwatch:DescribeAnomalyDetectors`
+ `cloudwatch:GetMetricData`
+ `cloudwatch:GetMetricStatistics`
+ `cloudwatch:ListMetrics`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:DescribeAnomalyDetectors",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics"
],
"Resource": "*"
}
]
}
```
------
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootCloudWatchAlarm/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootCloudWatchAlarm/description)à Systems Manager sous Documents.
1. Sélectionnez Execute automation (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
+ Type : `String`
+ Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **CloudWatchMetricAlarmName(Obligatoire) :**
+ Type : `String`
+ Description : (Obligatoire) Le nom de l'alarme métrique Amazon CloudWatch (CloudWatch) à dépanner.
+ Modèle autorisé : `^[a-zA-Z0-9.:;,\\-_&() ]{1,255}$`
+ **AlarmTriggerTimestamp (Obligatoire) :**
+ Type : `String`
+ Description : (Obligatoire) Horodatage UTC lorsque le problème d'alarme s'est produit. Ces informations sont cruciales pour résoudre le problème et comprendre le contexte dans lequel il s'est produit. La valeur d'horodatage doit être une heure comprise dans les 30 derniers jours à compter d'aujourd'hui et au format. `YYYY-MM-DDTHH:mm:ssZ` Exemple : `2024-10-29T09:04:00Z`
+ Modèle autorisé : `^(\\d{4})-(\\d{2})-(\\d{2})T(\\d{2}):(\\d{2}):(\\d{2})Z$`
1. Sélectionnez Exécuter.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **`VerifyRunbookInputs`**
Vérifie les détails de l'alarme Amazon CloudWatch (CloudWatch) et la valeur du `AlarmTriggerTimestamp` paramètre pour vérifier si elle se situe dans les 2 592 000 secondes (30 jours).
+ **`UpdateSSMDocumentInputChecksVariable`**
Met à jour la variable `SSMDocumentInputChecks` avec la valeur `SSMDocumentInputChecks` de `VerifyRunbookInputs` l'étape.
+ **`BranchOnAlarmIsVerified`**
Branches sur la vérification des entrées de Runbook `AlarmTriggerTimestamp` et. `CloudWatchAlarmName`
+ **`CheckMetricAlarmType`**
Vérifie si une alarme est basée sur une métrique ou des mathématiques métriques ou s'il s'agit d'une alarme de détection d'anomalie.
+ **`CheckAlarmInInsufficientDataState`**
Vérifie si l'état des données d'une alarme est insuffisant.
+ **`UpdateInsufficientDataChecksVariable`**
Met à jour la variable `InsufficientDataChecks` avec la valeur `InsufficientDataChecks` de `CheckAlarmInInsufficientDataState` l'étape.
+ **`BranchOnAlarmHasInsufficientData`**
Branche sur la `AlarmHasInsufficientData` valeur de l'`CheckAlarmInInsufficientDataState`étape, l'étape par défaut est`CheckMetricMismatch`.
+ **`CheckMetricMismatch`**
Vérifie si la ou les métriques utilisées dans l'alarme correspondent à `ListMetrics` la valeur.
+ **`UpdateMetricMismatchChecksVariable`**
Met à jour la variable `MetricMismatchChecks` avec la valeur `MetricMismatchChecks` de `CheckMetricMismatch` l'étape.
+ **`BranchOnMetricsMatched`**
Branche sur la `MetricsMatched` valeur de l'`CheckMetricMismatch`étape, l'étape par défaut est`CheckMissingDatapoint`.
+ **`CheckMissingDatapoint`**
Vérifie s'il manquait un ou plusieurs points de données à une métrique à un horodatage donné.
+ **`UpdateMetricMissingDatapointsChecksVariable`**
Met à jour la variable `MetricMissingDatapointsChecks` avec la valeur `MetricMissingDatapointsChecks` de `CheckMissingDatapoint` l'étape.
+ **`BranchOnMetricMissingDatapoint`**
Branche sur la `MetricMissingDatapoint` valeur de l'`CheckMissingDatapoint`étape, l'étape par défaut est`GetAlarmHistoryDetails`.
+ **`GetAlarmHistoryDetails`**
Obtient l'historique le plus récent pour un horodatage donné.
+ **`UpdateAlarmHistoryChecksVariable`**
Met à jour la variable `AlarmHistoryChecks` avec la valeur `AlarmHistoryChecks` de `GetAlarmHistoryDetails` l'étape.
+ **`BranchOnAlarmHistoryFound`**
Branche sur la `AlarmHistoryFound` valeur de l'`GetAlarmHistoryDetails`étape, l'étape par défaut est`CheckDelayedMetric`.
+ **`CheckDelayedMetric`**
Vérifie si une alarme ne s'est pas déclenchée en raison d'un ou de plusieurs indicateurs retardés ou manqués.
+ **`UpdateDelayedMetricChecksVariable`**
Met à jour la variable `DelayedMetricChecks` avec la valeur `DelayedMetricChecks` de `CheckDelayedMetric` l'étape.
+ **`BranchOnMetricDelayedAndDatapointsMeetThreshold`**
Branche sur l'étape `MetricDelayed` et `DatapointsMeetThreshold` les valeurs de l'`CheckDelayedMetric`étape, l'étape par défaut est`GenerateReport`.
+ **`CheckActionDelivered`**
Vérifie si les actions activées d'une alarme ont was/were été effectuées.
+ **`UpdateActionDeliveredChecksVariable`**
Met à jour la variable `ActionDeliveredChecks` avec le résultat `ActionDeliveredChecks` de `CheckActionDelivered` l'étape.
+ **`GenerateReport`**
Compile le résultat des étapes précédentes et produit un rapport.
1. Une fois l'exécution terminée, consultez la section Sorties pour obtenir les résultats détaillés de l'exécution :
+ **GenerateReport.Rapport**
Un rapport de l'alarme métrique Amazon CloudWatch (CloudWatch) fournie.
```
------------------------------------------------------------------------------------------
| AWS CloudWatch Alarm Troubleshooting Results |
------------------------------------------------------------------------------------------
| Alarm Name - Demo-Alarm |
| Timestamp - 2025-03-04T06:31:00Z |
------------------------------------------------------------------------------------------
| ✅ No Issue(s) Found |
------------------------------------------------------------------------------------------
==========================================================================================
1. Validating SSM Document input parameters:
==========================================================================================
✅ [PASSED]: Found a metric alarm with name Demo-Alarm
==========================================================================================
2. Checking alarm's data state:
==========================================================================================
✅ [PASSED]: The alarm is not in INSUFFICIENT_DATA state, alarm's state is: ALARM
==========================================================================================
3. Checking if the alarm experienced metric mismatches:
==========================================================================================
✅ [PASSED]: Metric matches with the configured metric for Alarm.
==========================================================================================
4. Checking if the alarm's metric(s) experienced missing datapoint(s):
==========================================================================================
✅ [PASSED]: Metric has datapoints
==========================================================================================
5. Retrieving alarm's history for timestamp 2025-03-04T06:31:00Z:
==========================================================================================
✅ [PASSED]: Found most recent alarm history item for the provided timestamp: '2025-03-04T06:31:00Z'
==========================================================================================
6. Checking if the alarm experienced metric delays or the alarm's datapoint(s) did not meet the configured threshold:
==========================================================================================
✅ [PASSED]: CloudWatch alarm did not experience any delayed metric
==========================================================================================
7. Checking if the alarm has actions enabled and if action(s) were delivered:
==========================================================================================
✅ [PASSED]: Successfully executed action arn:aws:sns:us-east-1:12345678910:Demo_Alarms_Topic
------------------------------------------------------------------------------------------
✅ All the checks have passed for CloudWatch alarm, Demo-Alarm, the alarm's configuration is correct.
```
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootCloudWatchAlarm/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
# Amazon DocumentDB
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon DocumentDB (compatibles avec MongoDB). Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-EnableDocDbClusterBackupRetentionPeriod`](aws-enabledocdbclusterbackupretentionperiod.md)
# `AWS-EnableDocDbClusterBackupRetentionPeriod`
**Description**
Le `AWS-EnableDocDbClusterBackupRetentionPeriod` runbook active une période de conservation des sauvegardes pour le cluster Amazon DocumentDB que vous spécifiez. Cette fonctionnalité définit le nombre total de jours pendant lesquels une sauvegarde automatique est conservée. Pour modifier un cluster, celui-ci doit être dans l'état disponible avec un type de moteur de`docdb`.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableDocDbClusterBackupRetentionPeriod)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ DBClusterResourceId
Type : String
Description : (Obligatoire) L'ID de ressource du cluster Amazon DocumentDB pour lequel vous souhaitez activer la période de conservation des sauvegardes.
+ BackupRetentionPeriod
Type : entier
Description : (Obligatoire) Nombre de jours pendant lesquels les sauvegardes automatisées sont conservées. Doit être une valeur comprise entre 7 et 35 jours.
+ PreferredBackupWindow
Type : String
Description : (Facultatif) Une plage horaire quotidienne en temps universel coordonné (UTC) au format hh24:mm-hh24:mm, par exemple 07:14-07:44. La valeur doit être d'au moins 30 minutes et ne doit pas entrer en conflit avec le créneau de maintenance préféré.
+ `ssm:GetAutomationExecution`
+ `ssm:StartAutomationExecution`
+ `docdb:DescribeDBClusters`
+ `docdb:ModifyDBCluster`
+ `rds:DescribeDBClusters`
+ `rds:ModifyDBCluster`
**Étapes de document**
+ GetDocDbClusterIdentifier (`aws:executeAwsApi`) - Renvoie l'identifiant du cluster Amazon DocumentDB à l'aide de l'ID de ressource fourni.
+ VerifyDocDbEngine (`aws:assertAwsResourceProperty`) - Vérifie que le type de moteur Amazon DocumentDB `docdb` est destiné à empêcher toute modification involontaire d'autres types de moteurs Amazon RDS.
+ VerifyDocDbStatus (`aws:waitAwsResourceProperty`) - Vérifie que l'état du cluster Amazon DocumentDB est. `available`
+ ModifyDocDbRetentionPeriod (`aws:executeAwsApi`) - Définit la période de rétention à l'aide des valeurs fournies pour le cluster Amazon DocumentDB spécifié.
+ VerifyDocDbBackupsEnabled (`aws:executeScript`) - Vérifie que la période de rétention pour le cluster Amazon DocumentDB et que la fenêtre de sauvegarde préférée, si elle est spécifiée, ont été correctement définies.
**Sorties**
ModifyDocDbRetentionPeriod. ModifyDbClusterResponse - Réponse de l'opération `ModifyDBCluster` API.
VerifyDocDbBackupsEnabled. VerifyDbClusterBackupsEnabledResponse - Résultat de l'`VerifyDocDbBackupsEnabled`étape de confirmation de la modification réussie du cluster Amazon DocumentDB.
# CodeBuild
AWS Systems Manager L'automatisation fournit des runbooks prédéfinis pour AWS CodeBuild. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSConfigRemediation-ConfigureCodeBuildProjectWithKMSCMK`](automation-aws-codebuild-cmk.md)
+ [`AWSConfigRemediation-DeleteAccessKeysFromCodeBuildProject`](automation-aws-delete-cb-keys.md)
# `AWSConfigRemediation-ConfigureCodeBuildProjectWithKMSCMK`
**Description**
Le `AWSConfigRemediation-ConfigureCodeBuildProjectWithKMSCMK` runbook chiffre les artefacts de construction d'un projet AWS CodeBuild (CodeBuild) à l'aide de la clé gérée par le client AWS Key Management Service (AWS KMS) que vous spécifiez. AWS Config doit être activé dans l' Région AWS endroit où vous exécutez cette automatisation.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-ConfigureCodeBuildProjectWithKMSCMK)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ KMSKeyId
Type : String
Description : (Obligatoire) Le nom de ressource Amazon (ARN) de la clé gérée par le AWS KMS client que vous souhaitez utiliser pour chiffrer le CodeBuild projet que vous spécifiez dans le `ProjectId` paramètre.
+ ProjectId
Type : String
Description : (Obligatoire) L'ID du CodeBuild projet dont vous souhaitez chiffrer les artefacts de construction.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `codebuild:BatchGetProjects`
+ `codebuild:UpdateProject`
+ `config:GetResourceConfigHistory`
**Étapes de document**
+ `aws:executeAwsApi`- Regroupe le nom du CodeBuild projet à partir de l'identifiant du projet.
+ `aws:executeAwsApi`- Active le chiffrement sur le CodeBuild projet que vous spécifiez dans le `ProjectId` paramètre.
+ `aws:assertAwsResourceProperty`- Vérifie que le chiffrement a été activé sur le CodeBuild projet.
**Sorties**
UpdateLambdaConfig. UpdateFunctionConfigurationResponse - Réponse de l'appel `UpdateFunctionConfiguration` d'API.
# `AWSConfigRemediation-DeleteAccessKeysFromCodeBuildProject`
**Description**
Le `AWSConfigRemediation-DeleteAccessKeysFromCodeBuildProject` runbook supprime les variables d'`AWS_SECRET_ACCESS_KEY`environnement `AWS_ACCESS_KEY_ID` et du projet AWS CodeBuild (CodeBuild) que vous spécifiez. AWS Config doit être activé dans l' Région AWS endroit où vous exécutez cette automatisation.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteAccessKeysFromCodeBuildProject)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ ResourceId
Type : String
Description : (Obligatoire) L'ID du CodeBuild projet dont vous souhaitez supprimer les variables d'environnement clés d'accès.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `config:GetResourceConfigHistory`
+ `codebuild:BatchGetProjects`
+ `codebuild:UpdateProject`
**Étapes de document**
+ `aws:executeScript`- Supprime les variables d'environnement clés d'accès pour le CodeBuild projet spécifié dans le `ResourceId` paramètre.
# AWS CodeDeploy
AWS Systems Manager L'automatisation fournit des runbooks prédéfinis pour AWS CodeDeploy. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSSupport-TroubleshootCodeDeploy`](automation-awssupport-troubleshootcodedeploy.md)
# `AWSSupport-TroubleshootCodeDeploy`
**Description**
Le `AWSSupport-TroubleshootCodeDeploy` runbook permet de diagnostiquer les raisons de l'échec d'un AWS CodeDeploy déploiement sur une instance Amazon Elastic Compute Cloud (Amazon EC2). Le runbook affiche les étapes à suivre pour vous aider à résoudre le problème ou à poursuivre le dépannage. Les meilleures pratiques CodeDeploy sont également fournies pour vous aider à éviter des problèmes similaires à l'avenir.
Ce runbook peut vous aider à résoudre les problèmes suivants :
+ L' CodeDeploy agent n'est pas installé ou ne fonctionne pas sur l' EC2instance Amazon
+ Aucun profil d' EC2 instance Gestion des identités et des accès AWS (IAM) n'est attaché à l'instance Amazon
+ Le profil d'instance IAM attaché à l' EC2 instance Amazon ne dispose pas des autorisations Amazon Simple Storage Service (Amazon S3) requises
+ Une révision stockée dans Amazon S3 est manquante ou le compartiment Amazon S3 utilisé se trouve dans un Région AWS compartiment différent de celui de l' EC2 instance Amazon
+ Problèmes liés au fichier de spécification de l'application (AppSpec)
+ Erreurs « Le fichier existe déjà à l'emplacement »
+ Hooks d'événements du cycle de vie CodeDeploy gérés ayant échoué
+ Hooks d'événements liés au cycle de vie gérés par le client
+ Événements d'extension pendant le déploiement
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootCodeDeploy)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ DeploymentId
Type : String
Description : (Obligatoire) L'ID du déploiement qui a échoué.
+ InstanceId
Type : String
Description : (Obligatoire) L'ID de l' EC2 instance Amazon sur laquelle le déploiement a échoué.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `codedeploy:GetDeployment`
+ `codedeploy:GetDeploymentTarget`
+ `ec2:DescribeInstances`
**Étapes de document**
+ `aws:executeAwsApi`- Vérifie les valeurs fournies pour les `InstanceId` paramètres `DeploymentId` et.
+ `aws:executeScript`- Collecte des informations à partir de l' EC2instance Amazon, telles que l'état de l'instance et les détails du profil de l'instance IAM.
+ `aws:executeScript`- Vérifie le déploiement spécifié et renvoie une analyse expliquant pourquoi le déploiement a échoué.
# AWS Config
AWS Systems Manager L'automatisation fournit des runbooks prédéfinis pour AWS Config. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSSupport-SetupConfig`](automation-aws-setup-config.md)
# `AWSSupport-SetupConfig`
**Description**
Le `AWSSupport-SetupConfig` runbook crée un rôle lié à un service Gestion des identités et des accès AWS (IAM), un enregistreur de configuration alimenté par AWS Config et un canal de distribution avec un bucket Amazon Simple Storage Service (Amazon S3) où AWS Config envoie des instantanés de configuration et des fichiers d'historique de configuration. Si vous spécifiez des valeurs pour les `AggregatorAccountRegion` paramètres `AggregatorAccountId` et, le runbook crée également des autorisations pour l'agrégation de données afin de collecter des données de AWS Config configuration et de conformité à partir de plusieurs Comptes AWS . Régions AWS*Pour en savoir plus sur l'agrégation des données provenant de plusieurs comptes et régions, consultez la section [Agrégation de données multicomptes et multirégions](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html) dans le guide du AWS Config développeur.*
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-SetupConfig)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ AggregatorAccountId
Type : String
Description : (Facultatif) L'ID de l' Compte AWS endroit où un agrégateur sera ajouté pour agréger les données de AWS Config configuration et de conformité provenant de plusieurs comptes et Régions AWS. Ce compte est également utilisé par l'agrégateur pour autoriser les comptes sources.
+ AggregatorAccountRegion
Type : String
Description : (Facultatif) Région dans laquelle un agrégateur sera ajouté pour agréger les données de AWS Config configuration et de conformité provenant de plusieurs comptes et régions.
+ IncludeGlobalResourcesRegion
Type : String
Par défaut : us-east-1
Description : (Obligatoire) Pour éviter d'enregistrer des données sur les ressources globales dans chaque région, spécifiez une région à partir de laquelle enregistrer les données sur les ressources mondiales.
+ Partition
Type : String
Par défaut : `aws`
Description : (Obligatoire) La partition à partir de laquelle vous souhaitez collecter les données de AWS Config configuration et de conformité.
+ S3 BucketName
Type : String
Par défaut : `aws-config-delivery-channel`
Description : (Facultatif) Le nom que vous souhaitez appliquer au compartiment Amazon S3 créé pour le canal de diffusion. L'identifiant du compte est ajouté à la fin du nom.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `config:DescribeConfigurationRecorders`
+ `config:DescribeDeliveryChannels`
+ `config:PutAggregationAuthorization`
+ `config:PutConfigurationRecorder`
+ `config:PutDeliveryChannel`
+ `config:StartConfigurationRecorder`
+ `iam:CreateServiceLinkedRole`
+ `iam:PassRole`
+ `s3:CreateBucket`
+ `s3:ListAllMyBuckets`
+ `s3:PutBucketPolicy`
**Étapes de document**
+ `aws:executeScript`- Crée un rôle IAM lié à un service AWS Config s'il n'en existe pas déjà un.
+ `aws:executeScript`- Crée un enregistreur de configuration s'il n'en existe pas déjà un.
+ `aws:executeScript`- Crée un compartiment Amazon S3 à utiliser par le canal de livraison s'il n'en existe pas déjà un.
+ `aws:executeScript`- Crée un canal de diffusion en utilisant les ressources créées par le runbook.
+ `aws:executeAwsApi`- Démarre l'enregistreur de configuration.
+ `aws:executeScript`- Si vous avez spécifié des valeurs pour les `AggregatorAccountRegion` paramètres `AggregatorAccountId` et, les autorisations pour l'agrégation de données multicomptes et multirégions sont configurées.
# Amazon Connect
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon Connect. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSSupport-AssociatePhoneNumbersToConnectContactFlows`](automation-associate-phone-numbers-to-connect-contact-flows.md)
+ [`AWSSupport-CollectAmazonConnectContactFlowLog`](automation-collect-amazon-connect-contact-flow-log.md)
# `AWSSupport-AssociatePhoneNumbersToConnectContactFlows`
**Description**
`AWSSupport-AssociatePhoneNumbersToConnectContactFlows`Cela vous permet d'associer des numéros de téléphone aux flux de contacts dans votre instance Amazon Connect. En fournissant les mappages des numéros de téléphone et des flux de contacts dans un fichier de valeurs séparées par des virgules (CSV) en entrée, le runbook associe autant de numéros de téléphone que possible aux flux de contacts en 14,5 minutes. Le runbook produit un fichier CSV contenant toutes les paires de numéros de téléphone et de flux de contacts qu'il n'a pas pu associer dans le délai imparti, afin que vous puissiez les saisir lors de la prochaine exécution.
**Fonctionnement**
Le runbook vous `AWSSupport-AssociatePhoneNumbersToConnectContactFlows` permet d'associer des numéros de téléphone aux flux de contacts de votre instance Amazon Connect à l'aide d'un fichier CSV contenant des données cartographiques stockées dans un bucket Amazon Simple Storage Service (Amazon S3). Le fichier CSV d'entrée doit être aligné sur le format suivant, avec des `PhoneNumber` valeurs au format [E.164.](https://www.itu.int/rec/T-REC-E.164/en)
**Exemple de fichier CSV d'entrée**
```
PhoneNumber,ContactFlowName
+1800555xxxx,ContactFlowA
+1800555yyyy,ContactFlowB
+1800555zzzz,ContactFlowC
```
Le runbook d'automatisation crée également les fichiers suivants dans l'emplacement de destination spécifié dans le `DestinationFileBucket` et`DestinationFilePath`.
+ **`automation:EXECUTION_ID/ResourceIdList.csv`**: fichier temporaire contenant les `ContactFlowId` paires `PhoneNumberId` et requises pour l'`AssociatePhoneNumberContactFlow`API.
+ **`automation:EXECUTION_ID/ErrorResourceList.csv`**: fichier contenant les paires de numéros de téléphone et de flux de contacts qui n'ont pas pu être traitées en raison d'une erreur, par exemple `ResourceNotFoundException` au format de`PhoneNumber,ContactFlowName,ErrorMessage`.
+ **`automation:EXECUTION_ID/NonProcessedResourceList.csv`**: fichier contenant les paires de numéros de téléphone et de flux de contacts qui n'ont pas été traitées. Le runbook essaie de traiter autant de numéros de téléphone et de flux de contacts que possible en 14,5 minutes (15 minutes d'expiration de la AWS Lambda fonction - 30 secondes de mémoire tampon). Si certains numéros de téléphone ou flux de contacts n'ont pas pu être traités en raison de contraintes de temps, le runbook les inclut dans un fichier CSV à utiliser comme entrée pour la prochaine exécution du runbook.
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
```
{
"Statement": [
{
"Action": [
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketPolicyStatus",
"s3:GetBucketAcl",
"s3:GetObject",
"s3:GetObjectAttributes",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::YOUR-BUCKET/*",
"arn:aws:s3:::YOUR-BUCKET"
],
"Effect": "Allow"
},
{
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStacks",
"cloudformation:DeleteStack",
"iam:CreateRole",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:GetRole",
"iam:PutRolePolicy",
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:GetFunction",
"lambda:InvokeFunction",
"lambda:TagResource",
"connect:AssociatePhoneNumberContactFlow",
"logs:CreateLogGroup",
"logs:TagResource",
"logs:PutRetentionPolicy",
"logs:DeleteLogGroup",
"s3:GetAccountPublicAccessBlock"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"connect:DescribeInstance",
"connect:ListPhoneNumbers",
"connect:ListContactFlows",
"ds:DescribeDirectories"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Condition": {
"StringLikeIfExists": {
"iam:PassedToService": [
"ssm.amazonaws.com",
"lambda.amazonaws.com"
]
}
},
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
S'il fournit un `LambdaRoleArn` paramètre, le rôle nécessite les actions suivantes pour utiliser correctement le runbook.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:us-east-1:111122223333:*",
"Effect": "Allow"
},
{
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:us-east-1:111122223333:*",
"Effect": "Allow"
},
{
"Action": [
"connect:AssociatePhoneNumberContactFlow"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"s3:PutObject",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/DESTINATION_FILE_PATH*",
"Effect": "Allow"
}
]
}
```
------
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-AssociatePhoneNumbersToConnectContactFlows/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-AssociatePhoneNumbersToConnectContactFlows/description)à Systems Manager sous Documents.
1. Sélectionnez Execute automation (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif)**
Amazon Resource Name (ARN) du rôle AWS Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **ConnectInstanceId (Obligatoire)**
L'ID de votre instance Amazon Connect.
+ **SourceFileBucket (Obligatoire)**
Le compartiment Amazon S3 qui stocke le fichier CSV contenant le numéro de téléphone et les paires de flux de contacts.
+ **SourceFilePath (Obligatoire)**
La clé d'objet Amazon S3 du fichier CSV qui contient le numéro de téléphone et les paires de flux de contacts. Par exemple, `path/to/input.csv`.
+ **DestinationFileBucket (Obligatoire)**
Le compartiment Amazon S3 dans lequel l'automatisation placera un fichier intermédiaire et un rapport de résultats.
+ **DestinationFilePath (Facultatif)**
Le chemin de l'objet Amazon S3 `DestinationFileBucket` sous lequel un fichier intermédiaire et un rapport de résultats doivent être stockés. Par exemple, si vous le spécifiez`path/to/files/`, les fichiers sont stockés sous`s3://[DestinationFileBucket]/path/to/files/[automation:EXECUTION_ID]/`.
+ **S3 BucketOwnerAccount (facultatif)**
Numéro de AWS compte propriétaire du compartiment Amazon S3 dans lequel vous souhaitez télécharger le journal du flux de contacts. Si vous ne spécifiez pas ce paramètre, les runbooks utilisent l'ID de AWS compte de l'utilisateur ou du rôle dans lequel l'automatisation s'exécute.
+ **S3 BucketOwnerRoleArn (facultatif)**
L'ARN du rôle IAM autorisé à obtenir les paramètres d'accès public au compartiment et au compte Amazon S3, à bloquer le compte, à configurer le chiffrement du compartiment, à connaître ACLs le statut de la politique du compartiment et à télécharger des objets dans le compartiment. Si ce paramètre n'est pas spécifié, le runbook utilise le `AutomationAssumeRole` (si spécifié) ou l'utilisateur qui démarre ce runbook (s'il n'`AutomationAssumeRole`est pas spécifié). Consultez la section relative aux autorisations requises dans la description du runbook.
+ **LambdaRoleArn (Facultatif)**
L'ARN du rôle IAM qui permet à AWS Lambda la fonction d'accéder aux AWS services et ressources requis. Si aucun rôle n'est spécifié, cette automatisation créera un rôle IAM pour Lambda dans votre compte.
1. Sélectionnez Exécuter.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **CheckConnectInstanceExistance**
Vérifie si l'instance Amazon Connect fournie `ConnectInstanceId` existe.
+ **Chèques 3 BucketPublicStatus**
Vérifie si les compartiments Amazon S3 spécifiés dans le `SourceFileBucket` et `DestinationFileBucket` autorisent des autorisations d'accès anonymes ou publiques en lecture ou en écriture.
+ **CheckSourceFileExistenceAndSize**
Vérifie si le fichier CSV source spécifié dans le `SourceFilePath` existe et si la taille du fichier dépasse la limite de 25 Mo.
+ **GenerateResourceIdMap**
Télécharge le fichier CSV source spécifié dans le `SourceFilePath` et identify `PhoneNumberId` et `ContactFlowId` pour chaque ressource. Une fois cela fait, il télécharge un fichier CSV contenant`PhoneNumber`, `PhoneNumberId``ContactFlowName`, et `ContactFlowId` dans le compartiment Amazon S3 de destination spécifié dans`DestinationFileBucket`. S'il `PhoneNumberId` n'est pas possible d'identifier un certain nombre, le fichier sera vide dans le fichier CSV.
+ **AssociatePhoneNumbersToContactFlows**
Crée une AWS Lambda fonction dans votre compte à l'aide d'une AWS CloudFormation pile. La AWS Lambda fonction associe chaque numéro à un flux de contacts répertorié dans le fichier CSV source spécifié dans `SourceFileBucket` `SourceFilePath` et la AWS CloudFormation pile invoque la fonction. La AWS Lambda fonction associe autant de numéros de téléphone aux flux de contacts que possible avant l'expiration du délai (15 minutes). La liste des numéros de téléphone et des flux de contacts qui n'ont pas pu être traités en raison d'une erreur est téléchargée`[automation:EXECUTION_ID]/ErrorResourceList.csv`. Les numéros qui n'ont pas pu être traités en raison d'un dépassement du nombre maximum de numéros de téléphone pouvant être traités en une seule exécution sont transférés`[automation:EXECUTION_ID]/NonProcessedResourceList.csv`. Si cette étape échoue, elle passe à l'`DescribeCloudFormationErrorFromStackEvents`étape pour montrer pourquoi elle a échoué à cause d'événements de AWS CloudFormation pile.
+ **WaitForPhoneNumberContactFlowAssociationCompletion**
Attend que la AWS Lambda fonction qui associe les numéros de téléphone aux flux de contacts soit créée et que la AWS CloudFormation pile termine son invocation.
+ **GenerateReport**
Génère le rapport qui contient le nombre de numéros de téléphone mappés aux flux de contacts, ceux qui n'ont pas pu être traités en raison d'une erreur et ceux qui n'ont pas pu être traités en raison d'un dépassement du nombre maximum de numéros de téléphone pouvant être traités en une seule exécution. Le rapport indique également l'emplacement (URI Amazon S3 et URL de console Amazon S3) pour `[automation:EXECUTION_ID]/ErrorResourceList.csv` ou`[automation:EXECUTION_ID]/NonProcessedResourceList.csv`, le cas échéant.
+ **`DeleteCloudFormationStack`**
Supprime la AWS CloudFormation pile, y compris la fonction Lambda pour le mappage.
+ **`DescribeCloudFormationErrorFromStackEvent`**
Décrit les erreurs provenant de la AWS CloudFormation pile de l'`AssociatePhoneNumbersToContactFlows`étape.
1. Une fois terminé, consultez la section Sorties pour obtenir les résultats détaillés de l'exécution :
+ **GenerateReport.OutputPayload**
Sortie des associations de numéros de téléphone et de flux de contacts. Ce rapport contient les informations suivantes :
+ Le nombre de paires de numéros de téléphone et de flux de contacts répertoriées dans le fichier CSV d'entrée
+ Le nombre de numéros de téléphone associés aux flux de contacts tel que spécifié dans le fichier CSV d'entrée
+ Le nombre de numéros de téléphone qui n'ont pas pu être associés aux flux de contacts en raison d'une erreur
+ Le nombre de numéros de téléphone qui n'ont pas été associés aux flux de contacts en raison de contraintes de temps
+ L'emplacement (URI Amazon S3 et URL de console Amazon S3) du fichier CSV contenant le numéro de téléphone et les paires de flux de contacts qui n'ont pas pu être associées en raison d'une erreur
+ L'emplacement (URI Amazon S3 et URL de console Amazon S3) du fichier CSV contenant le numéro de téléphone et les paires de flux de contacts qui n'ont pas été associées en raison d'une contrainte de temps
+ **DescribeCloudFormationErrorFromStackEvents.Événements**
Sortie qui affiche les événements de AWS CloudFormation pile en cas d'échec de l'`AssociatePhoneNumbersToContactFlows`étape.
Résultat d'exécution avec un petit nombre de numéros de téléphone et de flux de contacts
![\[Report showing 7 phone numbers processed successfully with no errors or time constraints.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/automation-associate-phone-numbers-to-connect-contact-flows_outputs_small.png)
Résultat d'exécution avec un grand nombre de numéros de téléphone et de flux de contacts et de numéros de téléphone non associés en raison d'une erreur ou d'une contrainte de temps
![\[Amazon Connect phone number mapping results showing processed and unprocessed contacts.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/automation-associate-phone-numbers-to-connect-contact-flows_outputs_many.png)
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-AssociatePhoneNumbersToConnectContactFlows/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
# `AWSSupport-CollectAmazonConnectContactFlowLog`
**Description**
Le runbook `AWSSupport-CollectAmazonConnectContactFlowLog` d'automatisation est utilisé pour collecter les journaux des flux de contacts Amazon Connect pour un identifiant de contact spécifique. En fournissant votre identifiant d'instance Amazon Connect et votre identifiant de contact, le runbook recherche le contact dans le groupe de journaux Amazon dans les CloudWatch journaux de flux de contacts et les télécharge dans le compartiment Amazon Simple Storage Service (Amazon S3) spécifié dans le paramètre de demande. Le runbook génère une sortie qui fournit l'URL de la console Amazon S3 et la commande AWS CLI vous permettant de télécharger les journaux.
**Fonctionnement**
Le runbook `AWSSupport-CollectAmazonConnectContactFlowLog` d'automatisation permet de collecter les journaux des flux de contacts Amazon Connect pour un identifiant de contact spécifique stocké dans le groupe de CloudWatch journaux configuré et de les télécharger dans un compartiment Amazon S3 spécifié. Pour renforcer la sécurité des journaux collectés à partir de votre flux de contacts Amazon Connect, l'automatisation évalue la configuration du compartiment Amazon S3 afin de déterminer si le compartiment accorde des autorisations publiques `read` ou `write` d'accès et s'il appartient au AWS compte spécifié dans le `S3BucketOwnerAccountId` paramètre. Si votre compartiment Amazon S3 utilise le chiffrement côté serveur à l'aide de AWS Key Management Service clés (SSE-KMS), assurez-vous que l'utilisateur ou le rôle Gestion des identités et des accès AWS (IAM) qui exécute cette automatisation dispose des autorisations nécessaires sur la `kms:GenerateDataKey` clé. AWS KMS Pour plus d'informations sur les journaux générés par votre instance Amazon Connect, consultez la section [Journaux de flux stockés dans un groupe de CloudWatch journaux Amazon](https://docs.aws.amazon.com/connect/latest/adminguide/contact-flow-logs-stored-in-cloudwatch.html).
**Important**
Les requêtes CloudWatch Logs Insights sont facturées en fonction de la quantité de données demandées. Les clients bénéficiant d'une offre gratuite sont uniquement facturés lorsque leur utilisation dépasse les quotas de service. Pour en savoir plus, consultez [Tarification Amazon CloudWatch](https://aws.amazon.com/cloudwatch/pricing/).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-CollectAmazonConnectContactFlowLog)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
```
{
"Statement": [
{
"Action": [
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketPolicyStatus",
"s3:GetBucketAcl",
"s3:GetObject",
"s3:GetObjectAttributes",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket"
],
"Effect": "Allow"
},
{
"Action": [
"connect:DescribeInstance",
"connect:DescribeContact",
"ds:DescribeDirectories"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"logs:StartQuery",
"logs:GetQueryResults"
"Resource": "*",
"Effect": "Allow"
}
]
}
```
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-CollectAmazonConnectContactFlowLog/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-CollectAmazonConnectContactFlowLog/description)à Systems Manager sous Documents.
1. Sélectionnez Execute automation (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
Amazon Resource Name (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **ConnectInstanceId (Obligatoire) :**
L'ID de votre instance Amazon Connect.
+ **ContactId (Obligatoire) :**
L'ID du contact pour lequel vous souhaitez collecter le journal du flux de contacts.
+ **S3 BucketName (obligatoire) :**
Le nom du compartiment Amazon S3 de votre compte dans lequel vous souhaitez télécharger le journal du flux de contacts. Assurez-vous que la politique des compartiments n'accorde pas d'autorisations de lecture/écriture inutiles aux parties qui n'ont pas besoin d'accéder aux journaux collectés.
+ **S3 ObjectPrefix (facultatif) :**
Le chemin de l'objet Amazon S3 dans le compartiment Amazon S3 pour un journal de flux de contacts chargé. Par exemple, si vous le spécifiez`CollectedLogs`, le journal sera chargé sous le nom`s3://your-s3-bucket/CollectedLogs/ContactFlowLog_[ContactId][AWSAccountId].gz`. Si vous ne spécifiez pas ce paramètre, l'ID d'exécution de Systems Manager Automation est utilisé, par exemple :`s3://your-s3-bucket/[automation:EXECUTION_ID]/ContactFlowLog[ContactId]_[AWSAccountId].gz`. Remarque : si vous spécifiez une valeur pour cette automatisation `S3ObjectPrefix` et que vous l'exécutez en utilisant le même [ContactId], le journal du flux de contacts sera remplacé.
+ **S3 BucketOwnerAccount (facultatif) :**
Numéro de AWS compte propriétaire du compartiment Amazon S3 dans lequel vous souhaitez télécharger le journal du flux de contacts. Si vous ne spécifiez pas ce paramètre, le runbook utilise l'ID de AWS compte de l'utilisateur ou du rôle dans lequel l'automatisation s'exécute.
+ **S3 BucketOwnerRoleArn (facultatif) :**
L'ARN du rôle IAM autorisé à obtenir les paramètres d'accès public au compartiment et au compte Amazon S3, à bloquer le compte, à configurer le chiffrement du compartiment ACLs, à obtenir le statut de la politique du compartiment et à télécharger des objets dans le compartiment. Si ce paramètre n'est pas spécifié, le runbook utilise le `AutomationAssumeRole` (si spécifié) ou l'utilisateur qui démarre ce runbook (s'il n'`AutomationAssumeRole`est pas spécifié). Consultez la section sur les autorisations requises dans la description du runbook.
![\[Input parameters form for AWS Systems Manager Automation with fields for roles, IDs, and S3 settings.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/automation-collect-amazon-connect-contact-flow-log_input_parameters.png)
1. Sélectionnez Exécuter.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **CheckConnectInstanceExistance**
Vérifie si l'instance Amazon Connect fournie dans le `ConnectInstanceId` est`ACTIVE`.
+ **Chèques 3 BucketPublicStatus**
Vérifie si le compartiment Amazon S3 spécifié dans le `S3BucketName` autorise des autorisations d'accès en lecture ou en écriture anonymes ou publiques.
+ **GenerateLogSearchTimeRange**
Génère `StartTime` et `EndTime` pour l'`StartQuery`étape en fonction du `InitiationTimestamp` et `LastUpdateTimestamp` renvoyé par l'`DescribeContact`API. `StartTime`ce sera une heure avant `InitiationTimestamp` et `EndTime` une heure après`LastUpdateTimestamp`.
+ **StartQuery**
Démarre un journal des requêtes pour les `ContactId` informations fournies dans le groupe de CloudWatch journaux associés à l'instance Amazon Connect fournie dans`ConnectInstanceId`. Les requêtes expirent après 60 minutes d'exécution. Si votre requête expire, réduisez la plage de temps visée par la recherche. Vous pouvez consulter les requêtes en cours ainsi que l'historique de vos dernières requêtes dans la CloudWatch console. Pour plus d'informations, voir [Afficher les requêtes en cours ou l'historique des requêtes](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs-Insights-Query-History.html).
+ **WaitForQueryCompletion**
Attend que le journal CloudWatch des requêtes Logs fourni soit `ContactId` terminé. Notez que la requête expire après 60 minutes d'exécution. Si votre requête expire, réduisez la plage de temps visée par la recherche. Vous pouvez consulter les requêtes en cours ainsi que l'historique de vos requêtes récentes dans la console Amazon Connect. Pour plus d'informations, voir [Afficher les requêtes en cours ou l'historique des requêtes](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/CloudWatchLogs-Insights-Query-History.html).
+ **UploadContactFlowLog**
Obtient le résultat de la requête et télécharge le journal du flux de contacts dans le compartiment Amazon S3 spécifié dans`S3BucketName`.
+ **GenerateReport**
Renvoie l'URL de la console Amazon S3 où le journal du flux de contacts a été chargé et un exemple de commande AWS CLI que vous pouvez utiliser pour télécharger le fichier journal.
1. Une fois terminé, consultez la section Sorties pour obtenir les résultats détaillés de l'exécution :
+ **GenerateReport.OutputPayload**
Sortie indiquant que le runbook a correctement récupéré les journaux de flux de contacts pour le contact spécifié. Ce rapport contient également l'URL de la console Amazon S3 et un exemple de commande AWS CLI vous permettant de télécharger le fichier journal.
![\[Output showing successful retrieval of Contact Flow log with S3 Console URL and AWS CLI command.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/automation-collect-amazon-connect-contact-flow-log_outputs.png)
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-CollectAmazonConnectContactFlowLog/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
# AWS Directory Service
AWS Systems Manager L'automatisation fournit des runbooks prédéfinis pour AWS Directory Service. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-CreateDSManagementInstance`](automation-awssupport-create-ds-management-instance.md)
+ [`AWSSupport-TroubleshootADConnectorConnectivity`](automation-awssupport-troubleshootadconnectorconnectivity.md)
+ [`AWSSupport-TroubleshootDirectoryTrust`](automation-awssupport-troubleshootdirectorytrust.md)
# `AWS-CreateDSManagementInstance`
**Description**
Le `AWS-CreateDSManagementInstance` runbook crée une instance Windows Amazon Elastic Compute Cloud (Amazon EC2) que vous pouvez utiliser pour gérer votre annuaire. AWS Directory Service L'instance de gestion ne peut pas être utilisée pour gérer les annuaires AD Connector.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CreateDSManagementInstance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ AMiID
Type : Chaîne
Valeur par défaut : `{{ ssm:/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-Base }}`
Description : (FacultatifAMI) Amazon Machine Image () identifiant à utiliser pour lancer l'instance. Par défaut, l'instance sera lancée avec la dernière AMI de base Microsoft Windows Server 2019.
+ DirectoryId
Type : Chaîne
Description : (Obligatoire) L'identifiant de votre Directory Service répertoire.
+ IamInstanceProfileName
Type : Chaîne
Description : (Facultatif) Nom du profil d'instance IAM. Par défaut, s'il n'existe aucun profil d'instance portant le nom Amazon SSMDirectoryServiceInstanceProfileRole, un profil d'instance portant le nom Amazon SSMDirectory ServiceInstanceProfileRole sera créé.
Par défaut : Amazon SSMDirectory ServiceInstanceProfileRole
+ InstanceType
Type : Chaîne
Par défaut : t3.medium
Valeurs autorisées :
+ t2.nano
+ t2.micro
+ t2.small
+ t2.medium
+ t2.large
+ t2.xlarge
+ t2.2xlarge
+ t3.nano
+ t3.micro
+ t3.small
+ t3.medium
+ t3.large
+ t3.xlarge
+ t3.2xlarge
Description : (Facultatif) Type d'instance à lancer. La valeur par défaut est t3.medium.
+ KeyPairName
Type : Chaîne
Description : (Facultatif) Paire de clés à utiliser lors du lancement de l'instance. Windows ne prend pas en charge les paires de ED25519 clés. Par défaut, l'instance est lancée sans paire de clés (NoKeyPair).
Par défaut : NoKeyPair
+ RemoteAccessCidr
Type : Chaîne
Description : (Facultatif) Crée un groupe de sécurité avec un port pour RDP (plage de ports 3389) ouvert à celui IPs spécifié par le CIDR (la valeur par défaut est 0.0.0.0/0). Si le groupe de sécurité existe déjà, il ne sera pas modifié et les règles ne changeront pas.
Par défaut : 0.0.0.0/0
+ SecurityGroupName
Type : Chaîne
Description : (Facultatif) Nom du groupe de sécurité. Par défaut, s'il n'existe aucun groupe de sécurité portant le nom Amazon SSMDirectoryServiceSecurityGroup, un groupe de sécurité portant le nom Amazon SSMDirectory ServiceSecurityGroup sera créé.
Par défaut : Amazon SSMDirectory ServiceSecurityGroup
+ Étiquettes
Type : MapList
Description : (Facultatif) Une paire clé-valeur que vous souhaitez appliquer aux ressources créées par l'automatisation.
Valeur par défaut : ` [ {"Key":"Description","Value":"Created by AWS Systems Manager Automation"}, {"Key":"Created By","Value":"AWS Systems Manager Automation"} ]`
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ds:DescribeDirectories`
+ `ec2:AuthorizeSecurityGroupIngress`
+ `ec2:CreateSecurityGroup`
+ `ec2:CreateTags`
+ `ec2:DeleteSecurityGroup`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceStatus`
+ `ec2:DescribeKeyPairs`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeVpcs`
+ `ec2:RunInstances`
+ `ec2:TerminateInstances`
+ `iam:AddRoleToInstanceProfile`
+ `iam:AttachRolePolicy`
+ `iam:CreateInstanceProfile`
+ `iam:CreateRole`
+ `iam:DeleteInstanceProfile`
+ `iam:DeleteRole`
+ `iam:DetachRolePolicy`
+ `iam:GetInstanceProfile`
+ `iam:GetRole`
+ `iam:ListAttachedRolePolicies`
+ `iam:ListInstanceProfiles`
+ `iam:ListInstanceProfilesForRole`
+ `iam:PassRole`
+ `iam:RemoveRoleFromInstanceProfile`
+ `iam:TagInstanceProfile`
+ `iam:TagRole`
+ `ssm:CreateDocument`
+ `ssm:DeleteDocument`
+ `ssm:DescribeInstanceInformation`
+ `ssm:GetAutomationExecution`
+ `ssm:GetParameters`
+ `ssm:ListCommandInvocations`
+ `ssm:ListCommands`
+ `ssm:ListDocuments`
+ `ssm:SendCommand`
+ `ssm:StartAutomationExecution`
**Étapes de document**
+ `aws:executeAwsApi`- Rassemble des informations sur le répertoire que vous spécifiez dans le `DirectoryId` paramètre.
+ `aws:executeAwsApi`- Obtient le bloc CIDR du cloud privé virtuel (VPC) dans lequel le répertoire a été lancé.
+ `aws:executeAwsApi`- Crée un groupe de sécurité à l'aide de la valeur que vous spécifiez dans le `SecurityGroupName` paramètre.
+ `aws:executeAwsApi`- Crée une règle entrante pour le groupe de sécurité nouvellement créé qui autorise le trafic RDP depuis le CIDR que vous spécifiez dans le paramètre. `RemoteAccessCidr`
+ `aws:executeAwsApi`- Crée un rôle IAM et un profil d'instance à l'aide de la valeur que vous spécifiez dans le `IamInstanceProfileName` paramètre.
+ `aws:executeAwsApi`- Lance une instance Amazon EC2 en fonction des valeurs que vous spécifiez dans les paramètres du runbook.
+ `aws:executeAwsApi`- Crée un AWS Systems Manager document pour joindre l'instance nouvellement lancée à votre répertoire.
+ `aws:runCommand`- Joint la nouvelle instance à votre répertoire.
+ `aws:runCommand`- Installe les outils d'administration du serveur distant sur la nouvelle instance.
# `AWSSupport-TroubleshootADConnectorConnectivity`
**Description**
Le `AWSSupport-TroubleshootADConnectorConnectivity` runbook vérifie les conditions préalables suivantes pour un AD Connector :
+ Vérifie si le trafic requis est autorisé par les règles du groupe de sécurité et de la liste de contrôle d'accès réseau (ACL) associées à votre AD Connector.
+ Vérifie si les points de terminaison VPC de CloudWatch l'interface AWS Systems Manager AWS Security Token Service,, et Amazon existent dans le même cloud privé virtuel (VPC) que l'AD Connector.
Lorsque les vérifications préalables sont terminées avec succès, le runbook lance deux instances Amazon Elastic Compute Cloud (Amazon EC2) Linux t2.micro dans les mêmes sous-réseaux que votre AD Connector. Les tests de connectivité réseau sont ensuite effectués à l'aide `netcat` des `nslookup` utilitaires et.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootADConnectorConnectivity)
**Important**
L'utilisation de ce runbook peut entraîner des frais supplémentaires Compte AWS pour les EC2 instances Amazon, les volumes Amazon Elastic Block Store et Amazon Machine Image (AMI) créé lors de l'automatisation. Pour plus d'informations, consultez les [tarifs Amazon Elastic Compute Cloud](https://aws.amazon.com/ec2/pricing/) et [Amazon Elastic Block Store](https://aws.amazon.com/ebs/pricing/).
Si l'`aws:deletestack`étape échoue, accédez à la AWS CloudFormation console pour supprimer manuellement la pile. Le nom de la pile créée par ce runbook commence `AWSSupport-TroubleshootADConnectorConnectivity` par. Pour plus d'informations sur la suppression de CloudFormation piles, voir [Supprimer une pile](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html) dans le *Guide de l'AWS CloudFormation utilisateur*.
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ DirectoryId
Type : String
Description : (Obligatoire) L'ID du répertoire AD Connector auquel vous souhaitez résoudre les problèmes de connectivité.
+ Eco 2 InstanceProfile
Type : String
Nombre maximum de caractères : 128
Description : (Obligatoire) Nom du profil d'instance que vous souhaitez attribuer aux instances lancées pour effectuer des tests de connectivité. Le profil d'instance que vous spécifiez doit être associé à la `AmazonSSMManagedInstanceCore` politique ou à des autorisations équivalentes.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:DescribeInstances`
+ `ec2:DescribeImages`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeVpcEndpoints`
+ `ec2:CreateTags`
+ `ec2:RunInstances`
+ `ec2:StopInstances`
+ `ec2:TerminateInstances`
+ `cloudformation:CreateStack`
+ `cloudformation:DescribeStacks`
+ `cloudformation:ListStackResources`
+ `cloudformation:DeleteStack`
+ `ds:DescribeDirectories`
+ `ssm:SendCommand`
+ `ssm:ListCommands`
+ `ssm:ListCommandInvocations`
+ `ssm:GetParameters`
+ `ssm:DescribeInstanceInformation`
+ `iam:PassRole`
**Étapes de document**
+ `aws:assertAwsResourceProperty`- Confirme que le répertoire spécifié dans le `DirectoryId` paramètre est un AD Connector.
+ `aws:executeAwsApi`- Recueille des informations sur l'AD Connector.
+ `aws:executeAwsApi`- Recueille des informations sur les groupes de sécurité associés à l'AD Connector.
+ `aws:executeAwsApi`- Recueille des informations sur les règles ACL du réseau associées aux sous-réseaux de l'AD Connector.
+ `aws:executeScript`- Évalue les règles du groupe de sécurité AD Connector pour vérifier que le trafic sortant requis est autorisé.
+ `aws:executeScript`- Évalue les règles ACL du réseau AD Connector pour vérifier que le trafic réseau sortant et entrant requis est autorisé.
+ `aws:executeScript`- Vérifie si les AWS Systems Manager points de terminaison de CloudWatch l'interface AWS Security Token Service et Amazon existent dans le même VPC que l'AD Connector.
+ `aws:executeScript`- Compile les résultats des contrôles effectués au cours des étapes précédentes.
+ `aws:branch`- Divise l'automatisation en fonction du résultat des étapes précédentes. L'automatisation s'arrête là si les règles sortantes et entrantes requises ne sont pas respectées pour les groupes de sécurité et le réseau. ACLs
+ `aws:createStack`- Crée une CloudFormation pile pour lancer des EC2 instances Amazon afin d'effectuer des tests de connectivité.
+ `aws:executeAwsApi`- Rassemble les IDs EC2 instances Amazon récemment lancées.
+ `aws:waitForAwsResourceProperty`- Attend que la première EC2 instance Amazon récemment lancée soit signalée comme gérée par AWS Systems Manager.
+ `aws:waitForAwsResourceProperty`- Attend que la deuxième EC2 instance Amazon récemment lancée soit signalée comme gérée par AWS Systems Manager.
+ `aws:runCommand`- Effectue des tests de connectivité réseau sur les adresses IP des serveurs DNS locaux à partir de la première EC2 instance Amazon.
+ `aws:runCommand`- Effectue des tests de connectivité réseau sur les adresses IP des serveurs DNS locaux à partir de la deuxième EC2 instance Amazon.
+ `aws:changeInstanceState`- Arrête les EC2 instances Amazon utilisées pour les tests de connectivité.
+ `aws:deleteStack`- Supprime la CloudFormation pile.
+ `aws:executeScript`- Affiche des instructions sur la façon de supprimer manuellement la CloudFormation pile si l'automatisation ne parvient pas à supprimer la pile.
# `AWSSupport-TroubleshootDirectoryTrust`
**Description**
Le `AWSSupport-TroubleshootDirectoryTrust` runbook diagnostique les problèmes de création de confiance entre un AWS Managed Microsoft AD et un Microsoft Active Directory. L'automatisation garantit que le type de répertoire prend en charge les approbations, puis vérifie les règles de groupe de sécurité associées, les listes de contrôle d'accès au réseau (réseau ACLs) et les tables de routage pour détecter d'éventuels problèmes de connectivité.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootDirectoryTrust)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ DirectoryId
Type : String
Modèle autorisé : ^d- [a-z0-9] \$110\$1 \$1
Description : (Obligatoire) L'ID du AWS Managed Microsoft AD à dépanner.
+ RemoteDomainCidrs
Type : StringList
Modèle autorisé : ^ (([0-9] \$1 [1-9] [0-9] \$11 [0-9] \$12\$1 \$12 [0-4] [0-9] \$125 [0-5]) \$1.) \$13\$1 ([0-9] \$1 [1-9] [0-9] \$11 [0-9] \$12\$1 \$12 [0-4] [0-9] \$125 [0-5]) (\$1/3 [0-2] \$1 [1-2] [0-9] \$1 [1-9])) \$1
Description : (Obligatoire) Le ou les CIDR du domaine distant avec lequel vous tentez d'établir une relation d'approbation. Vous pouvez en ajouter plusieurs CIDRs en utilisant des valeurs séparées par des virgules. Par exemple : 172.31.48.0/20, 192.168.1.10/32.
+ RemoteDomainName
Type : String
Description : (Obligatoire) Nom de domaine complet du domaine distant avec lequel vous établissez une relation d'approbation.
+ RequiredTrafficACL
Type : String
Description : (Obligatoire) Les exigences de port par défaut pour AWS Managed Microsoft AD. Dans la plupart des cas, vous ne devez pas modifier la valeur par défaut.
Par défaut : \$1"inbound":\$1"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]\$1,"outbound":\$1"-1":[[0,65535]]\$1\$1
+ RequiredTrafficSG
Type : String
Description : (Obligatoire) Les exigences de port par défaut pour AWS Managed Microsoft AD. Dans la plupart des cas, vous ne devez pas modifier la valeur par défaut.
Par défaut : \$1"inbound":\$1"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]\$1,"outbound":\$1"-1":[[0,65535]]\$1\$1
+ TrustId
Type : String
Description : (Facultatif) ID de la relation d'approbation à dépanner.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ds:DescribeConditionalForwarders`
+ `ds:DescribeDirectories`
+ `ds:DescribeTrusts`
+ `ds:ListIpRoutes`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
**Étapes de document**
+ `aws:assertAwsResourceProperty`- Confirme que le type de répertoire est AWS Managed Microsoft AD.
+ `aws:executeAwsApi`- Obtient des informations sur le AWS Managed Microsoft AD.
+ `aws:branch`- Automatisation des branches si une valeur est fournie pour le paramètre `TrustId` d'entrée.
+ `aws:executeAwsApi`- Obtient des informations sur la relation de confiance.
+ `aws:executeAwsApi`- Obtient les adresses IP DNS du redirecteur conditionnel pour. `RemoteDomainName`
+ `aws:executeAwsApi`- Obtient des informations sur les routes IP qui ont été ajoutées au AWS Managed Microsoft AD.
+ `aws:executeAwsApi`- Récupère CIDRs les AWS Managed Microsoft AD sous-réseaux.
+ `aws:executeAwsApi`- Obtient des informations sur les groupes de sécurité associés au AWS Managed Microsoft AD.
+ `aws:executeAwsApi`- Obtient des informations sur le réseau ACLs associé au AWS Managed Microsoft AD.
+ `aws:executeScript`- Confirme que les valeurs `RemoteDomainCidrs` sont valides. Confirme qu'il `RemoteDomainCidrs` existe des redirecteurs conditionnels pour`RemoteDomainCidrs`, et que les routes IP requises ont été ajoutées aux adresses IP AWS Managed Microsoft AD s'il s'agit d'adresses IP non conformes à la RFC 1918. AWS Managed Microsoft AD
+ `aws:executeScript`- Évalue les règles du groupe de sécurité.
+ `aws:executeScript`- Évalue le réseau. ACLs
**Sorties**
evalDirectorySecurityGroup.output - Résultat de l'évaluation visant à déterminer si les règles du groupe de sécurité associées au AWS Managed Microsoft AD autorisent le trafic requis pour créer un climat de confiance.
evalAclEntries.output - Résultats de l'évaluation visant à déterminer si le réseau ACLs associé AWS Managed Microsoft AD autorise le trafic requis pour créer un climat de confiance.
evaluateRemoteDomainCIDR.Output - Résultats de l'évaluation de la validité `RemoteDomainCidrs` des valeurs. Confirme qu'il `RemoteDomainCidrs` existe des redirecteurs conditionnels pour`RemoteDomainCidrs`, et que les routes IP requises ont été ajoutées aux adresses IP AWS Managed Microsoft AD s'il s'agit d'adresses IP non conformes à la RFC 1918. AWS Managed Microsoft AD
# AWS AppSync
AWS Systems Manager L'automatisation fournit des runbooks prédéfinis pour AWS AppSync. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-EnableAppSyncGraphQLApiLogging`](aws-enable-appsync-graphql-api-logging.md)
# `AWS-EnableAppSyncGraphQLApiLogging`
**Description**
Le `AWS-EnableAppSyncGraphQLApiLogging` runbook permet la journalisation au niveau du champ et la journalisation au niveau des demandes pour l'API AWS AppSync GraphQL que vous spécifiez. Le runbook appliquera les modifications à l'API GraphQL spécifiée même si la journalisation a déjà été activée.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableAppSyncGraphQLApiLogging)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ ApiId
Type : String
Description : (Obligatoire) L'ID de l'API pour laquelle vous souhaitez activer la journalisation.
+ FieldLogLevel
Type : String
Valeurs valides : ERROR \$1 ALL
Description : (Obligatoire) Le niveau de journalisation du champ.
+ CloudWatchLogsRoleArn
Type : String
Description : (Obligatoire) L'ARN du rôle de service AWS AppSync censé publier sur Amazon CloudWatch Logs.
+ ExcludeVerboseContent
Type : booléen
Par défaut : false
Description : (Facultatif) Définissez sur `True` pour exclure des informations telles que les en-têtes, le contexte et les modèles de mappage évalués, quel que soit le niveau de journalisation.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `appsync:GetGraphqlApi`
+ `appsync:UpdateGraphqlApi`
+ `iam:PassRole`
**Étapes de document**
+ aws : executeAwsApi - Recueille le type d'authentification et les informations de configuration pertinentes pour le type d'authentification principal.
+ aws:branch - Branches basées sur le type d'authentification.
+ aws : executeAwsApi - Met à jour la configuration de journalisation pour l'API AWS AppSync GraphQL en fonction des valeurs spécifiées pour les paramètres d'entrée du runbook.
**Sorties**
+ `EnableApiLoggingWithApiKeyOrAwsIamAuthorization.UpdateGraphQLApiResponse`: Réponse à l'`UpdateGraphqlApi`appel.
+ `EnableApiLoggingWithLambdaAuthorization.UpdateGraphQLApiResponse`: Réponse à l'`UpdateGraphqlApi`appel.
+ `EnableApiLoggingWithCognitoAuth.UpdateGraphQLApiResponse`: Réponse à l'`UpdateGraphqlApi`appel.
+ `EnableApiLoggingWithOpenIdAuthorization.UpdateGraphQLApiResponse`: Réponse à l'`UpdateGraphqlApi`appel.
# Amazon Athena
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon Athena. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-EnableAthenaWorkGroupEncryptionAtRest`](aws-enable-athena-workgroup-encryption-at-rest.md)
# `AWS-EnableAthenaWorkGroupEncryptionAtRest`
**Description**
Le `AWS-EnableAthenaWorkGroupEncryptionAtRest` runbook active le chiffrement au repos pour le groupe de travail Amazon Athena que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableAthenaWorkGroupEncryptionAtRest)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ WorkGroup
Type : String
Description : (Obligatoire) Le groupe de travail pour lequel vous souhaitez activer le chiffrement au repos.
+ EncryptionOption
Type : String
Valeurs valides : SSE\$1S3 \$1 SSE\$1KMS \$1 CSE\$1KMS
Description : (Obligatoire) Spécifie l'option de chiffrement utilisée. Vous pouvez choisir le chiffrement côté serveur avec des clés gérées Amazon S3 (SSE\$1S3), le chiffrement côté serveur avec des clés gérées (SSE\$1KMS) ou le chiffrement côté AWS KMS client avec des clés gérées (CSE\$1KMS). AWS KMS
+ KmsKeyId
Type : String
Description : (Facultatif) Si vous utilisez une option de AWS KMS chiffrement, spécifiez l'ARN de la clé, l'ID de clé ou l'alias de clé que vous souhaitez utiliser.
+ EnableMinimumEncryptionConfiguration
Type : booléen
Valeur par défaut : True
Description : (Facultatif) Applique un niveau minimal de chiffrement au groupe de travail pour les résultats de requêtes et de calculs écrits sur Amazon S3. Lorsque cette option est activée, les utilisateurs du groupe de travail peuvent définir le chiffrement uniquement au niveau minimum défini par l'administrateur ou à un niveau supérieur lorsqu'ils soumettent des requêtes. Ce paramètre ne s'applique pas aux groupes de travail compatibles avec Spark.
+ EnforceWorkGroupConfiguration
Type : booléen
Valeur par défaut : True
Description : (Facultatif) Si ce paramètre est défini sur`True`, les paramètres du groupe de travail remplacent les paramètres côté client. S'il est défini sur`False`, les paramètres côté client sont utilisés.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:GetAutomationExecution`
+ `ssm:StartAutomationExecution`
+ `athena:GetWorkGroup`
+ `athena:UpdateWorkGroup`
**Étapes de document**
+ aws:branch - Branches basées sur l'option de chiffrement spécifiée dans le `EncryptionOption` paramètre.
+ aws : executeAwsApi - Cette étape met à jour le groupe de travail Athena avec le paramètre de chiffrement spécifié.
+ aws : executeAwsApi - Met à jour le groupe de travail Athena avec le paramètre de chiffrement spécifié.
+ aws : assertAwsResource Property - Vérifie que le chiffrement du groupe de travail a été activé.
# DynamoDB
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon DynamoDB. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-ChangeDDBRWCapacityMode`](change-read-write-capacity.md)
+ [`AWS-CreateDynamoDBBackup`](automation-aws-createdynamodbbackup.md)
+ [`AWS-DeleteDynamoDbBackup`](automation-aws-deletedynamodbbackup.md)
+ [`AWSConfigRemediation-DeleteDynamoDbTable`](automation-aws-deletedynamodbtable.md)
+ [`AWS-DeleteDynamoDbTableBackups`](automation-aws-deletedynamodbtablebackups.md)
+ [`AWSConfigRemediation-EnableEncryptionOnDynamoDbTable`](automation-aws-enable-ddb-encrypt.md)
+ [`AWSConfigRemediation-EnablePITRForDynamoDbTable`](automation-aws-enable-pitr-ddb.md)
+ [`AWS-EnableDynamoDbAutoscaling`](AWS-EnableDynamoDbAutoscaling.md)
+ [`AWS-RestoreDynamoDBTable`](aws-restore-dynamodb-table.md)
# `AWS-ChangeDDBRWCapacityMode`
**Description**
Le `AWS-ChangeDDBRWCapacityMode` runbook modifie le mode de capacité de lecture/écriture pour une ou plusieurs tables Amazon DynamoDB (DynamoDB) en mode à la demande ou en mode provisionné.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-ChangeDDBRWCapacityMode)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ CapacityMode
Type : String
Valeurs valides : PROVISIONED \$1 PAY\$1PER\$1REQUEST
Description : (Obligatoire) Mode de capacité de lecture/écriture souhaité. Lors du passage d'une capacité à la demande (pay-per-request) à une capacité provisionnée, les valeurs de capacité provisionnée initiales doivent être définies. Les valeurs de capacité allouées initiales sont estimées en fonction de la capacité de lecture et d'écriture consommée par votre table et vos index secondaires globaux au cours des 30 dernières minutes.
+ ReadCapacityUnits
Type : entier
Par défaut : 0
Description : (Facultatif) Nombre maximal de lectures hautement cohérentes consommées par seconde avant que DynamoDB ne renvoie une exception de limitation.
+ TableNames
Type : String
Description : (Obligatoire) Liste séparée par des virgules des noms de tables DynamoDB pour modifier le mode de capacité de lecture/écriture pour...
+ WriteCapacityUnits
Type : entier
Par défaut : 0
Description : (Facultatif) Nombre maximal d'écritures consommées par seconde avant que DynamoDB ne renvoie une exception de limitation.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `dynamodb:DescribeTable`
+ `dynamodb:UpdateTable`
**Étapes de document**
+ `aws:executeScript`- Modifie le mode de capacité de lecture/écriture pour les tables DynamoDB spécifiées dans le paramètre. `TableNames`
**Sorties**
Changer de DDBRWCapacity mode. SuccessesTables - Liste des noms de tables DynamoDB dont le mode de capacité a été correctement modifié
Changer de DDBRWCapacity mode. FailedTables - Liste des noms des tables DynamoDB pour lesquelles le changement du mode de capacité a échoué et pour quelle raison.
# `AWS-CreateDynamoDBBackup`
**Description**
Créez une sauvegarde d'une table Amazon DynamoDB.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CreateDynamoDBBackup)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ BackupName
Type : String
Description : (Obligatoire) nom de la sauvegarde à créer.
+ LambdaAssumeRole
Type : String
Description : (Facultatif) ARN du rôle qui autorise la fonction Lambda créée par Automation à effectuer des actions en votre nom. Si vous ne spécifiez pas cette valeur, un rôle transitoire est créé pour exécuter la fonction Lambda.
+ TableName
Type : String
Description : (Obligatoire) nom de la table DynamoDB à analyser.
# `AWS-DeleteDynamoDbBackup`
**Description**
Supprimez la sauvegarde d'une table Amazon DynamoDB.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-DeleteDynamoDbBackup)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ BackupArn
Type : String
Description : (Obligatoire) ARN de la sauvegarde de table DynamoDB à supprimer.
# `AWSConfigRemediation-DeleteDynamoDbTable`
**Description**
Le `AWSConfigRemediation-DeleteDynamoDbTable` runbook supprime la table Amazon DynamoDB (DynamoDB) que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteDynamoDbTable)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ TableName
Type : String
Description : (Obligatoire) Nom de la table DynamoDB que vous souhaitez supprimer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `dynamodb:DeleteTable`
+ `dynamodb:DescribeTable`
**Étapes de document**
+ `aws:executeScript`- Supprime la table DynamoDB spécifiée dans le paramètre. `TableName`
+ `aws:executeScript`- Vérifie que la table DynamoDB a été supprimée.
# `AWS-DeleteDynamoDbTableBackups`
**Description**
Supprimez les sauvegardes de tables DynamoDB en fonction du nombre de jours ou du nombre de jours de rétention.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-DeleteDynamoDbTableBackups)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ LambdaAssumeRole
Type : String
Description : (Facultatif) ARN du rôle qui autorise la fonction Lambda créée par Automation à effectuer des actions en votre nom. Si vous ne spécifiez pas cette valeur, un rôle transitoire est créé pour exécuter la fonction Lambda.
+ RetentionCount
Type : String
Par défaut: 10
Description : (Facultatif) nombre de sauvegardes à conserver pour la table. S'il existe plus que le nombre spécifié de sauvegardes, les sauvegardes les plus anciennes au-delà de ce nombre sont supprimées. L'un RetentionCount ou l'autre RetentionDays peut être utilisé, mais pas les deux.
+ RetentionDays
Type : String
Description : (Facultatif) nombre de jours de conservation de sauvegardes pour la table. Les sauvegardes plus ancienne que le nombre de jours spécifié sont supprimées. L'un RetentionCount ou l'autre RetentionDays peut être utilisé, mais pas les deux.
+ TableName
Type : String
Description : (Obligatoire) nom de la table DynamoDB à analyser.
# `AWSConfigRemediation-EnableEncryptionOnDynamoDbTable`
**Description**
Le `AWSConfigRemediation-EnableEncryptionOnDynamoDbTable` runbook chiffre une table Amazon DynamoDB (DynamoDB) à l'aide de la clé gérée par le client AWS KMS() que vous spécifiez pour AWS Key Management Service le paramètre. `KMSKeyId`
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableEncryptionOnDynamoDbTable)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ KMSKeyId
Type : String
Description : (Obligatoire) L'ARN de la clé gérée par le client que vous souhaitez utiliser pour chiffrer la table DynamoDB que vous spécifiez dans le paramètre. `TableName`
+ TableName
Type : String
Description : (Obligatoire) Nom de la table DynamoDB que vous souhaitez chiffrer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `dynamodb:DescribeTable`
+ `dynamodb:UpdateTable`
**Étapes de document**
+ `aws:executeAwsApi`- Chiffre la table DynamoDB que vous spécifiez dans le paramètre. `TableName`
+ `aws:waitForAwsResourceProperty`- Vérifie que la `Enabled` propriété de la table `SSESpecification` DynamoDB est définie sur. `true`
+ `aws:assertAwsResourceProperty`- Vérifie que la table DynamoDB est chiffrée avec la clé gérée par le client spécifiée dans le paramètre. `KMSKeyId`
# `AWSConfigRemediation-EnablePITRForDynamoDbTable`
**Description**
Le `AWSConfigRemediation-EnablePITRForDynamoDbTable` runbook active la point-in-time restauration (PITR) sur la table Amazon DynamoDB que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnablePITRForDynamoDbTable)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ TableName
Type : String
Description : (Obligatoire) Nom de la table DynamoDB sur laquelle activer point-in-time la restauration.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `dynamodb:DescribeContinuousBackups `
+ `dynamodb:UpdateContinuousBackups`
**Étapes de document**
+ `aws:executeAwsApi`- Active la point-in-time restauration sur la table DynamoDB que vous spécifiez dans le paramètre. `TableName`
+ `aws:assertAwsResourceProperty`- Confirme que point-in-time la restauration est activée sur la table DynamoDB.
# `AWS-EnableDynamoDbAutoscaling`
**Description**
Le `AWS-EnableDynamoDbAutoscaling` runbook active Application Auto Scaling pour la table Amazon DynamoDB de capacité provisionnée que vous spécifiez. Application Auto Scaling ajuste dynamiquement la capacité de débit allouée en fonction des modèles de trafic. Pour plus d'informations, consultez [la section Gestion automatique de la capacité de débit avec le dimensionnement automatique de DynamoDB dans le manuel du développeur](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.html) Amazon *DynamoDB*.
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ TableName
Type : String
Description : (Obligatoire) Nom de la table DynamoDB sur laquelle vous souhaitez activer Application Auto Scaling.
+ MinReadCapacity
Type : entier
Description : (Obligatoire) Nombre minimal d'unités de capacité de lecture de débit allouées pour la table DynamoDB.
+ MaxReadCapacity
Type : entier
Description : (Obligatoire) Nombre maximal d'unités de capacité de lecture de débit allouées pour la table DynamoDB.
+ TargetReadCapacityUtilization
Type : entier
Description : (Obligatoire) L'utilisation de la capacité de lecture cible souhaitée. L'utilisation cible est le pourcentage du débit provisionné consommé à un moment donné. Vous pouvez définir les valeurs d'utilisation cibles de mise à l'échelle automatique entre 20 et 90 %.
+ ReadScaleOutCooldown
Type : entier
Description : (Obligatoire) Temps d'attente en secondes avant qu'une précédente activité d'augmentation de la capacité de lecture prenne effet.
+ ReadScaleInCooldown
Type : entier
Description : (Obligatoire) Durée en secondes entre la fin d'une activité d'augmentation de la capacité de lecture et le début d'une autre activité d'extension.
+ MinWriteCapacity
Type : entier
Description : (Obligatoire) Nombre minimal d'unités d'écriture de débit allouées pour la table DynamoDB.
+ MaxWriteCapacity
Type : entier
Description : (Obligatoire) Nombre maximal d'unités d'écriture de débit allouées pour la table DynamoDB.
+ TargetWriteCapacityUtilization
Type : entier
Description : (Obligatoire) L'utilisation de la capacité d'écriture cible souhaitée. L'utilisation cible est le pourcentage du débit provisionné consommé à un moment donné. Vous pouvez définir les valeurs d'utilisation cibles de mise à l'échelle automatique entre 20 et 90 %.
+ WriteScaleOutCooldown
Type : entier
Description : (Obligatoire) Durée en secondes pendant laquelle une précédente activité d'augmentation de la capacité d'écriture prend effet.
+ WriteScaleInCooldown
Type : entier
Description : (Obligatoire) Durée en secondes qui s'écoule entre la fin d'une activité d'augmentation de la capacité d'écriture et le début d'une autre activité de montée en puissance.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:GetAutomationExecution`
+ `ssm:StartAutomationExecution`
+ `application-autoscaling:DescribeScalableTargets`
+ `application-autoscaling:DescribeScalingPolicies`
+ `application-autoscaling:PutScalingPolicy`
+ `application-autoscaling:RegisterScalableTarget`
+ RegisterAppAutoscalingTargetWrite (`aws:executeAwsApi`) - Configure Application Auto Scaling sur la table DynamoDB que vous spécifiez.
+ RegisterAppAutoscalingTargetWriteDelay (`aws:sleep`) - Se met en veille pour éviter le ralentissement de l'API.
+ PutScalingPolicyWrite (`aws:executeAwsApi`) - Configure l'utilisation de la capacité d'écriture cible pour la table DynamoDB.
+ PutScalingPolicyWriteDelay (`aws:sleep`) - Se met en veille pour éviter le ralentissement de l'API.
+ RegisterAppAutoscalingTargetRead (`aws:executeAwsApi`) - Configure les unités de capacité de lecture minimale et maximale pour la table DynamoDB.
+ RegisterAppAutoscalingTargetReadDelay (`aws:sleep`) - Se met en veille pour éviter le ralentissement de l'API.
+ PutScalingPolicyRead (`aws:executeAwsApi`) - Configure l'utilisation de la capacité de lecture cible pour la table DynamoDB.
+ VerifyDynamoDbAutoscalingEnabled (`aws:executeScript`) - Vérifie que Application Auto Scaling est activé pour la table DynamoDB conformément aux valeurs que vous spécifiez.
**Sorties**
+ RegisterAppAutoscalingTargetWrite.Réponse
+ PutScalingPolicyWrite.Réponse
+ RegisterAppAutoscalingTargetRead.Réponse
+ PutScalingPolicyRead.Réponse
+ VerifyDynamoDbAutoscalingEnabled.DynamoDbAutoscalingEnabledResponse
# `AWS-RestoreDynamoDBTable`
**Description**
Le `AWS-RestoreDynamoDBTable` runbook restaure la table Amazon DynamoDB que vous avez point-in-time spécifiée à l'aide de la restauration (PITR).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-RestoreDynamoDBTable)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ EnablePointInTimeRecoverAsNeeded
Type : booléen
Valeur par défaut : true
Description : (Facultatif) Détermine si l'automatisation active la point-in-time restauration de la table selon les besoins.
+ GlobalSecondaryIndexOverride
Type : String
Description : (Facultatif) Les nouveaux index secondaires globaux remplaceront les index secondaires existants de la nouvelle table.
+ LocalSecondaryIndexOverride
Type : String
Description : (Facultatif) Les nouveaux index secondaires locaux remplacent les index secondaires existants de la nouvelle table.
+ RestoreDateTime
Type : String
Description : (Obligatoire) La point-in-time restauration à laquelle vous souhaitez restaurer votre table au cours des 35 derniers jours. Spécifiez la date et l'heure au format suivant : `DD/MM/YYYY HH:MM:SS`
+ SourceTableArn
Type : String
Description : (Obligatoire) L'ARN de la table que vous souhaitez restaurer.
+ SseSpecificationOverride
Type : String
Description : (Facultatif) Les paramètres de chiffrement côté serveur à utiliser pour la nouvelle table.
+ TargetTableName
Type : String
Description : (Obligatoire) Nom de la table à restaurer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `dynamodb:BatchWriteItem`
+ `dynamodb:DeleteItem`
+ `dynamodb:DescribeTable`
+ `dynamodb:GetItem`
+ `dynamodb:PutItem`
+ `dynamodb:Query`
+ `dynamodb:RestoreTableToPointInTime`
+ `dynamodb:Scan`
+ `dynamodb:UpdateItem`
**Étapes de document**
+ `aws:executeScript`- Restaure la table DynamoDB que vous spécifiez dans le paramètre à l'aide de `TargetTableName` la restauration. point-in-time
# AWS Database Migration Service
AWS Systems Manager L'automatisation fournit des runbooks prédéfinis pour AWS Database Migration Service. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSSupport-TroubleshootDMSTableErrors`](awssupport-troubleshoot-dms-table-errors.md)
+ [`AWSSupport-TroubleshootDMSEndpointConnection`](automation-awssupport-troubleshootdmsendpointconnection.md)
# `AWSSupport-TroubleshootDMSTableErrors`
**Description**
Le manuel AWS Systems Manager **AWSSuport-TroubleshootDMSTableErrors**d'automatisation vous aide à automatiser le processus de résolution des problèmes liés à la tâche de migration `Table errors` de base de données ou à la réplication sans serveur à partir de. AWS Database Migration Service Ces erreurs se produisent lorsque les tables ne parviennent pas à migrer du point de terminaison source (base de données source) vers le point de terminaison cible (base de données cible) par le biais de la tâche de migration de base de données ou de la réplication sans serveur créée en AWS DMS service. Ce manuel analyse les messages d'erreur de signature provenant des CloudWatch journaux, en se concentrant spécifiquement sur les journaux des tâches pour les tâches de migration de base de données traditionnelles et sur les journaux sans serveur pour la réplication sans serveur. Il fournit également des suggestions ciblées et des étapes de correction pour les messages d'erreur courants rencontrés `Table error` lors des AWS DMS migrations.
**Fonctionnement**
Le runbook exécute les étapes suivantes :
+ Récupère des informations sur l' AWS DMS ARN fourni, qui peut être une tâche de migration de base de données ou une réplication sans serveur.
+ Vérifie si la AWS DMS ressource fournie a été démarrée au moins une fois en vérifiant la `FreshStartDate` valeur dans la réponse de l' DescribeReplicationTasks API (pour la tâche de migration de base de données) et de DescribeReplications l'API (pour la réplication sans serveur). Si la ressource n'a pas démarré, l'automatisation génère une erreur.
+ Si la ressource a démarré, l'automatisation vérifie la présence des tables dans les `TableError` états à l'aide `TableStatistics` des informations. Si aucune erreur n'est détectée, l'automatisation met fin au flux de travail après avoir affiché un message confirmant qu'aucune erreur de table n'a été détectée dans la tâche de migration de base de données ou de réplication sans serveur spécifiée.
+ Si des tables avec un `TableError` état sont trouvées, l'automatisation vérifie si la CloudWatch journalisation est activée pour la AWS DMS ressource spécifiée. Si la journalisation n'est pas activée, l'automatisation met fin au flux de travail après avoir affiché un message indiquant que la journalisation n'est pas activée.
**Remarque :** la CloudWatch journalisation devrait être activée, car l'automatisation s'appuie sur ces journaux pour analyser et identifier les problèmes liés aux tables en `TableError` état.
+ Si la journalisation est activée, l'automatisation analyse CloudWatch les journaux et génère un rapport pour chaque table en `TableError` état. Le rapport inclut des suggestions de messages d'erreur courants et fournit des journaux d'erreurs pertinents pour aider à identifier et à résoudre les problèmes empêchant la migration réussie des tables du point de terminaison AWS DMS source vers le point de terminaison AWS DMS cible.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootDMSTableErrors)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
/
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ DMSArn
Type : Chaîne
Description : ARN (obligatoire) de la tâche de migration de base de données ou de réplication sans serveur
Modèle autorisé : `^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):dms:[a-z0-9-]+:\d{12}:(task|replication-config):[a-zA-Z0-9-]+$`
+ StartTimeRange
Type : Chaîne
Description : (Facultatif) Ce paramètre définit le début de la plage horaire pour l'analyse des CloudWatch journaux d'une tâche de migration de base de données ou d'une réplication sans serveur donnée. Lorsqu'ils sont fournis, seuls les journaux générés à partir de ce moment précis seront collectés et analysés. Veuillez noter qu'il est possible que le flux de travail expire si l'intervalle de temps entre `startDate` et `endDate` est trop long. La valeur doit être fournie au format de date et d'heure ISO 6081.
Modèle autorisé : `^$|^(\\d{4})-(\\d{2})-(\\d{2})T(\\d{2}):(\\d{2}):(\\d{2})\\.(\\d{3})Z$`
+ EndTimeRange
Type : Chaîne
Description : (Facultatif) Ce paramètre définit la fin de la plage de temps pour l'analyse des CloudWatch journaux de la tâche de migration de base de données ou de réplication sans serveur donnée. Lorsqu'ils sont fournis, seuls les journaux générés jusqu'à cette heure précise seront collectés et analysés. Veuillez noter qu'il est possible que le flux de travail expire si l'intervalle de temps entre `startDate` et `endDate` est trop long. La valeur doit être fournie au format de date et d'heure ISO 6081.
Modèle autorisé : `^$|^(\\d{4})-(\\d{2})-(\\d{2})T(\\d{2}):(\\d{2}):(\\d{2})\\.(\\d{3})Z$`
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `dms:DescribeReplicationTasks`
+ `dms:DescribeReplications`
+ `dms:DescribeEndpoints`
+ `dms:DescribeReplicationConfigs`
+ `dms:DescribeTableStatistics`
+ `dms:DescribeReplicationTableStatistics`
+ `logs:FilterLogEvents`
**Exemple de politique IAM pour le rôle Automation Assume**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"dms:DescribeReplicationConfigs",
"dms:DescribeEndpoints",
"dms:DescribeReplicationTableStatistics",
"dms:DescribeTableStatistics",
"logs:FilterLogEvents",
"dms:DescribeReplicationTasks",
"dms:DescribeReplications"
],
"Resource": "*"
}
]
}
```
------
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootDMSTableErrors/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootDMSTableErrors/description)à Systems Manager sous Documents.
1. Sélectionnez Execute automation (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
Amazon Resource Name (ARN) du rôle AWS Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **DMSArn**
ARN de la tâche de migration de base de données ou de réplication sans serveur contenant des erreurs de table.
+ **StartTimeRange**
(Facultatif) Format de date et d'heure ISO 6081 définissant le début de la plage horaire pour l'analyse des CloudWatch journaux d'une tâche de migration de base de données ou d'une réplication sans serveur donnée.
+ **EndTimeRange**
(Facultatif) Format de date et d'heure ISO 6081 définissant la fin de la plage horaire pour l'analyse des CloudWatch journaux d'une tâche de migration de base de données ou d'une réplication sans serveur donnée.
1. Sélectionnez **le bouton Exécuter** en bas de la page.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **valider DMSInput TypeAndGatherDetails**
Valide l'entrée AWS DMS ARN donnée et rassemble les détails de base de la tâche de migration de base de données ou de réplication sans serveur qui sont nécessaires dans les étapes suivantes.
+ **branchOnTableErreurs**
Branche le flux de travail en fonction du nombre d'erreurs de table détectées à l'étape ci-dessus. Si le nombre est supérieur à 0, passez à l'`branchOnCWLoggingStatus`étape -. Sinon, passez à l'`outputNoTableErrors`étape -.
+ **outputNoTableErreurs**
Afficher un message indiquant que les erreurs de table sont introuvables dans la tâche de migration de base de données ou de réplication sans serveur donnée.
+ **État de BranchOn CWLogging**
Branche le flux de travail en fonction de l'état de CloudWatch journalisation trouvé à l'étape ci-dessus. Si cette option est activée, passez à l'`gatherTableDetails`étape -. Sinon, passez à l'`outputNoCWLoggingEnabled`étape -.
+ **Sortie non activée CWLogging**
Affiche un message indiquant que la CloudWatch journalisation n'est pas activée dans la tâche de migration de base de données ou de réplication sans serveur donnée.
+ **gatherTableDetails**
Recueille les `FullLoadEndTime` horodatages des tables défaillantes et calcule les valeurs temporelles pour analyser les journaux. CloudWatch
+ **analyzeCloudWatchJournaux**
Analyse les journaux trouvés dans le groupe de CloudWatch journaux en fonction des messages d'erreur de signature et renvoie le rapport à l'utilisateur.
1. Une fois l'exécution terminée, consultez la section Sorties pour connaître les résultats détaillés de l'exécution.
+ **Sortie d'aucune erreur de table détectée**
Si aucune erreur de table n'est détectée dans la tâche de migration de base de données ou de réplication sans serveur fournie, l'automatisation affiche le même résultat.
+ **Sortie indiquant « Aucune CloudWatch connexion activée »**
Si la CloudWatch journalisation n'est pas activée dans la tâche de migration de base de données ou de réplication sans serveur fournie, l'automatisation affiche le même résultat et indique les étapes pour activer la journalisation.
+ **Rapport d'analyse du journal**
Produit un rapport qui identifie les tables en `Table error` état à partir de la tâche de migration de base de données ou de la réplication sans serveur fournie, en différenciant les types d'erreur, en répertoriant les messages d'erreur rencontrés et en fournissant des étapes de correction ciblées et des suggestions pour chaque table identifiée.
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootDMSTableErrors/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
# `AWSSupport-TroubleshootDMSEndpointConnection`
**Description**
Le **AWSSupport-TroubleshootDMSEndpointConnection**runbook permet de diagnostiquer et de résoudre les problèmes de connectivité entre les instances de AWS Database Migration Service réplication et AWS DMS les points de terminaison. L'automatisation utilise les contrôles [Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) pour tester la connectivité réseau et analyse la configuration du réseau afin d'identifier les problèmes de connectivité potentiels susceptibles d'empêcher la réussite des migrations. AWS DMS
**Important**
Vous devez avoir testé la connectivité entre l'instance de AWS DMS réplication et le point de terminaison à l'aide de la AWS DMS console ou de l'API avant d'exécuter ce runbook. Si vous n'avez pas testé la connexion, veuillez d'abord le faire, sinon vous devrez peut-être réexécuter ce runbook. L'instance de AWS DMS réplication et le point de terminaison doivent être disponibles pour des tests de connectivité précis.
**Important**
Ce runbook crée et invoque des AWS Lambda fonctions, qui entraîneront des frais Lambda. Chaque analyse de Reachability Analyzer entraîne également des frais. [Pour plus de détails sur les tarifs, consultez la page de [tarification d'Amazon VPC](https://aws.amazon.com/vpc/pricing/) sous l'onglet Network Analysis et AWS Lambda la tarification.](https://aws.amazon.com/lambda/pricing/)
**Fonctionnement**
Le runbook effectue une analyse systématique de la AWS DMS connectivité selon les phases suivantes :
**Phase 1 : Validation des ressources et conditions préalables**
+ **Validation du point** de AWS DMS terminaison : vérifie que le point de terminaison existe, récupère sa configuration (nom du serveur, port, type de moteur) et confirme que le moteur de base de données est pris en charge pour le dépannage.
+ **État du test de connexion : récupère l'état** actuel du test de connexion entre l'instance de réplication et le point de terminaison à l'aide de l' AWS DMS `DescribeConnections`API, y compris les messages d'échec des tentatives de test précédentes.
+ **Analyse de l'instance de réplication** : collecte les détails de configuration réseau, notamment l'identifiant Amazon VPC, le IDs sous-réseau, le IDs groupe de sécurité, et identifie l'interface réseau élastique (ENI) associée à l'instance de réplication.
**Phase 2 : résolution du DNS et découverte du chemin réseau**
+ **Résolution DNS basée sur Amazon VPC** : crée une fonction Lambda temporaire dans le même Amazon VPC que l'instance de réplication pour résoudre le nom d'hôte du point de terminaison en son adresse IP depuis le contexte Amazon VPC, garantissant ainsi une résolution DNS privée précise.
+ **Identification de la cible** : détermine la cible appropriée pour Reachability Analyzer selon que le point de terminaison se trouve dans le même Amazon VPC (utilise ENI) ou externe (utilise une adresse IP résolue).
+ IPv6 Contrôle de **compatibilité : vérifie** que les adresses résolues le sont IPv4, car Reachability Analyzer ne prend pas en charge les adresses. IPv6
**Phase 3 : Analyse complète du chemin du réseau**
+ Exécution de l'**analyseur de reachabilité** : crée un chemin d'information réseau entre l'instance de réplication ENI et la cible (ENI du point de terminaison ou adresse IP) et exécute une analyse complète pour tester la connectivité TCP sur le port spécifié.
+ **Analyse du réseau multicouche** : examine le chemin réseau complet, y compris les tables de routage, les groupes de sécurité, le réseau, les passerelles Internet ACLs, les passerelles NAT, les connexions d'appairage Amazon VPC et les passerelles de transit afin d'identifier les obstacles à la connectivité.
+ **Génération d'explications détaillées** : en cas de défaillance de la connectivité, fournit des explications spécifiques pour chaque composant réseau bloquant le trafic, y compris les numéros de règles exacts, les blocs CIDR, les plages de ports et les restrictions de protocole.
**Phase 4 : Génération de rapports et nettoyage des ressources**
+ **Rapports complets** : génère un rapport détaillé contenant un résumé des tests de connexion, les résultats de l'analyse des chemins réseau et des explications spécifiques sur les défaillances avec des conseils de correction.
+ **Gestion des ressources** : nettoie automatiquement les ressources créées (fonction Lambda, rôles IAM, chemins d'informations réseau), sauf si PersistReachabilityAnalyzerResults le paramètre est défini pour conserver les résultats d'analyse à des fins d'investigation plus approfondie.
+ **Gestion des erreurs** : fournit des rapports d'erreur spécifiques pour divers scénarios de défaillance, notamment les moteurs de base de données non pris en charge, les ressources manquantes, les échecs de résolution DNS et les problèmes d'autorisation.
Le runbook permet de résoudre les problèmes de connectivité pour plusieurs moteurs de base de données, notamment Amazon Aurora, Amazon DocumentDB, Amazon DynamoDB, Amazon Neptune, Amazon Redshift, Amazon S3, Azure SQL Database, MySQL, Oracle, PostgreSQL DB2, SQL Server et bien d'autres.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootDMSEndpointConnection)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
/
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `cloudformation:CreateStack`
+ `cloudformation:DeleteStack`
+ `cloudformation:DescribeStacks`
+ `cloudformation:DescribeStackEvents`
+ `dms:DescribeEndpoints`
+ `dms:DescribeReplicationInstances`
+ `dms:DescribeConnections`
+ `iam:GetRole`
+ `iam:PassRole`
+ `iam:SimulatePrincipalPolicy`
+ `lambda:CreateFunction`
+ `lambda:DeleteFunction`
+ `lambda:GetFunction`
+ `lambda:InvokeFunction`
+ `lambda:ListTags`
+ `lambda:TagResource`
+ `lambda:UntagResource`
+ `lambda:UpdateFunctionCode`
**Autorisations IAM facultatives**
Les autorisations suivantes ne sont requises que `AutomationAssumeRole` si vous ne fournissez pas de `LambdaRoleArn` paramètre et que vous souhaitez que l'automatisation crée le rôle d'exécution Lambda pour vous :
+ `iam:CreateRole`
+ `iam:DeleteRole`
+ `iam:AttachRolePolicy`
+ `iam:DetachRolePolicy`
+ `iam:TagRole`
+ `iam:UntagRole`
**Important**
Outre les actions mentionnées ci-dessus, [Amazon `AutomationAssumeRole`](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonVPCReachabilityAnalyzerFullAccessPolicy.html) doit être [associé à une politique gérée](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) afin VPCReachability AnalyzerFullAccessPolicy que les tests de [Reachability Analyzer soient effectués](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) avec succès.
Exemple de politique :
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "AllowDMSTroubleshootingActions",
"Effect": "Allow",
"Action": [
"dms:DescribeEndpoints",
"dms:DescribeReplicationInstances",
"dms:DescribeConnections",
"lambda:GetFunction",
"lambda:ListTags",
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:TagResource",
"lambda:UntagResource",
"lambda:UpdateFunctionCode",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"iam:GetRole",
"iam:SimulatePrincipalPolicy",
"iam:CreateRole",
"iam:DeleteRole",
"iam:TagRole",
"iam:UntagRole"
],
"Resource": "*"
},
{
"Sid": "AllowDMSLambdaInvocation",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": "arn:*:lambda:*:*:function:AWSSupport-TroubleshootDMSEndpointConnection-*"
},
{
"Sid": "AllowPassRoleToDMSLambda",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:*:iam::*:role/AWSSupport-TroubleshootDMSEndpointConnection-*",
"Condition": {
"StringLikeIfExists": {
"iam:PassedToService": "lambda.amazonaws.com"
}
}
},
{
"Sid": "AllowRolePolicyManagement",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:DetachRolePolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"iam:ResourceTag/AWSSupport-TroubleshootDMSEndpointConnection": "true"
}
}
}
]
}
```
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootDMSEndpointConnection/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootDMSEndpointConnection/description)à Systems Manager sous Documents.
1. Sélectionnez **Execute automation** (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
+ Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à SSM Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, SSM Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Type : `AWS::IAM::Role::Arn`
+ **DmsEndpointArn (Obligatoire)**
+ Description : (Obligatoire) Le nom de ressource Amazon (ARN) du AWS Database Migration Service point de terminaison.
+ Type : `String`
+ Modèle autorisé : `^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):dms:[a-z0-9-]+:\\d{12}:endpoint:[A-Z0-9]{1,48}$`
+ **DmsReplicationInstanceArn (Obligatoire)**
+ Description : (Obligatoire) Le nom de ressource Amazon (ARN) de l'instance de AWS Database Migration Service réplication.
+ Type : `String`
+ Modèle autorisé : `^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):dms:[a-z0-9-]+:\\d{12}:rep:[A-Z0-9]+$`
+ **PersistReachabilityAnalyzerResults (Facultatif)**
+ Description : (Facultatif) L'indicateur indiquant si les résultats de l'exécution de l'analyse Network Insights doivent être conservés ou non.
+ Type : `Boolean`
+ Valeurs autorisées : `[true, false]`
+ Valeur par défaut : `false`
+ **LambdaRoleArn (Facultatif)**
+ Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Gestion des identités et des accès AWS (IAM) qui permet à la AWS Lambda fonction d'accéder aux AWS services et ressources requis. Si aucun rôle n'est spécifié, cette automatisation de Systems Manager créera un rôle IAM pour Lambda dans votre compte.
+ Type : `AWS::IAM::Role::Arn`
+ Valeur par défaut : `""`
+ **Reconnaître (obligatoire)**
+ Description : (Obligatoire) Entrez `yes` pour confirmer que ce runbook créera une fonction Lambda dans votre compte et créera un rôle IAM si `LambdaRoleArn` ce n'est pas le cas.
+ Type : `String`
+ Modèle autorisé : `^[Yy][Ee][Ss]$`
1. Sélectionnez **Exécuter**.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **DescribeEndpointAndCheckEngine:**
Récupère la configuration du AWS DMS point de terminaison et valide si le type de moteur de base de données est pris en charge pour le dépannage. Extrait le nom du serveur, le port et le type de moteur de la configuration du point de terminaison.
+ **BranchOnEndpointAndCheckEngineErrors:**
Branche l'automatisation en fonction des erreurs liées à la validation du point de terminaison. Si des erreurs sont détectées, l'automatisation génère un rapport d'erreur ; sinon, elle poursuit les tests de connectivité.
+ **GetTestConnectionStatus:**
Récupère l'état de la connexion et le message d'erreur pour le AWS DMS point de terminaison à l'aide de l'`DescribeConnections`API. Cette étape vérifie si un test de connexion a été effectué et capture les éventuels messages d'échec.
+ **BranchOnTestConnectionStatusErrors:**
Branche l'automatisation en fonction des erreurs d'état des tests de connexion. Si des erreurs sont détectées, l'automatisation génère un rapport d'erreur ; dans le cas contraire, elle procède à l'analyse des instances de réplication.
+ **DescribeReplicationInstance:**
Récupère les détails de configuration réseau de l'instance de AWS DMS réplication, notamment l'identifiant Amazon VPC, le IDs sous-réseau, le IDs groupe de sécurité, et identifie l'Elastic Network Interface (ENI) associée.
+ **ValidateResourcePermissions:**
Vérifie que le rôle d'exécution dispose des autorisations nécessaires pour nettoyer les ressources qui seront créées au cours du processus d'automatisation.
+ **Créez DNSResolver Lambda :**
Crée une AWS CloudFormation pile contenant une fonction Lambda déployée dans le même Amazon VPC que l'instance de réplication. Cette fonction est utilisée pour convertir les noms DNS en adresses IP privées dans le contexte Amazon VPC.
+ **DescribeCloudFormationErrorFromStackEvents:**
Si la création de la CloudFormation pile échoue, cette étape décrit les erreurs liées aux événements de la pile afin de fournir des informations détaillées sur les défaillances à des fins de résolution des problèmes.
+ **Obtenez DNSResolver LambdaName :**
Récupère le nom de la fonction Lambda du résolveur DNS à partir des sorties de la CloudFormation pile pour l'utiliser dans les étapes suivantes.
+ **ResolveDmsEndpoint:**
Invoque la fonction Lambda pour convertir le nom d'hôte AWS DMS du point de terminaison en adresse IP depuis Amazon VPC. Cela garantit une résolution DNS privée précise et valide la IPv4 compatibilité.
+ **BranchOnResolveDmsEndpointErrors:**
Branche l'automatisation en fonction des erreurs de résolution DNS. Si le point de terminaison ne peut pas être résolu ou s'il est résolu à une IPv6 adresse, l'automatisation génère un rapport d'erreur.
+ **GetReachabilityAnalyzerTarget:**
Identifie la cible appropriée pour Reachability Analyzer en fonction de la configuration Amazon VPC et de l'emplacement du point de terminaison. Détermine s'il faut utiliser une adresse ENI (pour les mêmes points de terminaison Amazon VPC) ou une adresse IP (pour les points de terminaison externes) comme cible.
+ **GenerateErrors:**
Crée un rapport d'erreur complet lorsque des défaillances se produisent au cours des étapes précédentes. Cela inclut des informations sur les erreurs de validation des terminaux, les échecs des tests de connexion ou les problèmes de résolution du DNS, avec des conseils de correction spécifiques.
+ **GenerateReport:**
Crée un rapport de dépannage complet contenant l'état de la connexion, les résultats de l'analyse du chemin réseau à l'aide de Reachability Analyzer, des explications détaillées sur les obstacles à la connectivité et des actions recommandées pour les résoudre.
+ **CheckStackExists:**
Vérifie si la CloudFormation pile a été créée avec succès et doit être supprimée pendant le nettoyage. Cette étape garantit une gestion appropriée des ressources, quel que soit le succès ou l'échec de l'automatisation.
+ **Supprimer DNSResolver Lambda :**
Supprime la CloudFormation pile contenant la fonction Lambda du résolveur DNS et les ressources associées (sauf si elle `PersistReachabilityAnalyzerResults` est définie sur`true`), garantissant ainsi qu'il ne reste aucune ressource résiduelle une fois l'automatisation terminée.
1. Une fois terminé, consultez la section **Sorties** pour obtenir les résultats détaillés de l'exécution :
+ **GetTestConnectionStatus.statut**
État actuel du test de connexion entre l'instance de AWS DMS réplication et le point de terminaison (par exemple, succès, échec, test).
+ **DescribeCloudFormationErrorFromStackEvents.Évènements**
Si la création de la CloudFormation pile échoue, ce résultat contient des événements d'erreur détaillés liés au processus de création de la pile pour aider à diagnostiquer les problèmes de déploiement de l'infrastructure.
+ **GenerateReport.rapport**
Un rapport de dépannage complet contenant les résultats de l'analyse des connexions, les conclusions de Reachability Analyzer, l'analyse du chemin réseau, les obstacles de connectivité spécifiques identifiés et des recommandations de correction détaillées avec des liens vers la documentation pertinente. AWS
+ **GenerateErrors.rapport**
Si des erreurs se produisent pendant le processus d'automatisation, ce résultat fournit un rapport d'erreur détaillé incluant les raisons spécifiques de l'échec, les ressources affectées et des conseils pour résoudre les problèmes avant de réessayer l'automatisation.
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootDMSEndpointConnection/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
# Amazon EBS
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon Elastic Block Store. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSSupport-AnalyzeEBSResourceUsage`](automation-aws-analyze-ebs-resource-usage.md)
+ [`AWS-ArchiveEBSSnapshots`](aws-archiveebssnapshots.md)
+ [`AWS-AttachEBSVolume`](automation-aws-attachebsvolume.md)
+ [`AWSSupport-CalculateEBSPerformanceMetrics`](automation-calculate-ebs-performance-metrics.md)
+ [`AWS-CopySnapshot`](automation-aws-copysnapshot.md)
+ [`AWS-CreateSnapshot`](automation-aws-createsnapshot.md)
+ [`AWS-DeleteSnapshot`](automation-aws-deletesnapshot.md)
+ [`AWSConfigRemediation-DeleteUnusedEBSVolume`](automation-aws-delete-ebs-volume.md)
+ [`AWS-DeregisterAMIs`](aws-deregisteramis.md)
+ [`AWS-DetachEBSVolume`](automation-aws-detachebsvolume.md)
+ [`AWSConfigRemediation-EnableEbsEncryptionByDefault`](automation-aws-enable-ebs-encryption.md)
+ [`AWS-ExtendEbsVolume`](aws-extendebsvolume.md)
+ [`AWSSupport-ModifyEBSSnapshotPermission`](automation-awssupport-modifyebssnapshotpermission.md)
+ [`AWSConfigRemediation-ModifyEBSVolumeType`](automation-aws-modify-ebs-type.md)
# `AWSSupport-AnalyzeEBSResourceUsage`
**Description**
Le runbook `AWSSupport-AnalyzeEBSResourceUsage` d'automatisation est utilisé pour analyser l'utilisation des ressources sur Amazon Elastic Block Store (Amazon EBS). Il analyse l'utilisation des volumes et identifie les volumes, les images et les instantanés abandonnés dans une AWS région donnée.
**Fonctionnement**
Le runbook exécute les quatre tâches suivantes :
1. Vérifie l'existence d'un compartiment Amazon Simple Storage Service (Amazon S3) ou crée un nouveau compartiment Amazon S3.
1. Rassemble tous les volumes Amazon EBS dans leur état de disponibilité.
1. Regroupe tous les instantanés Amazon EBS pour lesquels le volume source a été supprimé.
1. Regroupe toutes les Amazon Machine Images (AMI) qui ne sont pas utilisées par des instances Amazon Elastic Compute Cloud (Amazon EC2) non résiliées.
Le runbook génère des rapports CSV et les stocke dans un compartiment Amazon S3 fourni par l'utilisateur. Le compartiment fourni doit être sécurisé conformément aux meilleures pratiques de AWS sécurité décrites à la fin. Si le compartiment Amazon S3 fourni par l'utilisateur n'existe pas dans le compte, le runbook crée un nouveau compartiment Amazon S3 au format de nom`-awssupport-YYYY-MM-DD`, chiffré avec une clé personnalisée AWS Key Management Service (AWS KMS), avec le versionnement des objets activé, bloqué l'accès public et nécessitant des demandes d'utilisation du protocole SSL/TLS.
Si vous souhaitez spécifier votre propre compartiment Amazon S3, assurez-vous qu'il est configuré conformément aux meilleures pratiques suivantes :
+ Bloquez l'accès public au bucket (défini `IsPublic` sur`False`).
+ Activez la journalisation des accès Amazon S3.
+ [Autorisez uniquement les requêtes SSL vers votre compartiment](https://repost.aws/knowledge-center/s3-bucket-policy-for-config-rule).
+ Activez la gestion des versions des objets.
+ Utilisez une clé AWS Key Management Service (AWS KMS) pour chiffrer votre compartiment.
**Important**
L'utilisation de ce runbook peut entraîner des frais supplémentaires sur votre compte pour la création de buckets et d'objets Amazon S3. Consultez la [tarification d'Amazon S3](https://aws.amazon.com/s3/pricing/) pour plus de détails sur les frais susceptibles d'être facturés.
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ S3 BucketName
Type : `AWS::S3::Bucket::Name`
Description : (Obligatoire) Le compartiment Amazon S3 de votre compte dans lequel vous souhaitez télécharger le rapport. Assurez-vous que la politique des compartiments n'accorde pas d' read/write autorisations inutiles aux parties qui n'ont pas besoin d'accéder aux journaux collectés. Si le compartiment spécifié n'existe pas dans le compte, l'automatisation crée un nouveau compartiment dans la région où l'automatisation est lancée avec le format du nom`-awssupport-YYYY-MM-DD`, chiffré à l'aide d'une AWS KMS clé personnalisée.
Modèle autorisé : `$|^(?!(^(([0-9]{1,3}[.]){3}[0-9]{1,3}$)))^((?!xn—)(?!.*-s3alias))[a-z0-9][-.a-z0-9]{1,61}[a-z0-9]$`
+ CustomerManagedKmsKeyArn
Type : Chaîne
Description : (Facultatif) La AWS KMS clé personnalisée Amazon Resource Name (ARN) pour chiffrer le nouveau compartiment Amazon S3 qui sera créé si le compartiment spécifié n'existe pas dans le compte. L'automatisation échoue si la création du bucket est tentée sans spécifier un ARN de AWS KMS clé personnalisé.
Modèle autorisé : `(^$|^arn:aws:kms:[-a-z0-9]:[0-9]:key/[-a-z0-9]*$)`
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:DescribeImages`
+ `ec2:DescribeInstances`
+ `ec2:DescribeSnapshots`
+ `ec2:DescribeVolumes`
+ `kms:Decrypt`
+ `kms:GenerateDataKey`
+ `s3:CreateBucket`
+ `s3:GetBucketAcl`
+ `s3:GetBucketPolicyStatus`
+ `s3:GetBucketPublicAccessBlock`
+ `s3:ListBucket`
+ `s3:ListAllMyBuckets`
+ `s3:PutObject`
+ `s3:PutBucketLogging`
+ `s3:PutBucketPolicy`
+ `s3:PutBucketPublicAccessBlock`
+ `s3:PutBucketTagging`
+ `s3:PutBucketVersioning`
+ `s3:PutEncryptionConfiguration`
+ `ssm:DescribeAutomationExecutions`
**Exemple de politique avec les autorisations IAM minimales requises pour exécuter ce runbook :**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "ReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes",
"ssm:DescribeAutomationExecutions"
],
"Resource": "*"
}, {
"Sid": "KMSGeneratePermissions",
"Effect": "Allow",
"Action": ["kms:GenerateDataKey", "kms:Decrypt"],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}, {
"Sid": "S3ReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket2/"
]
}, {
"Sid": "S3CreatePermissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutObject",
"s3:PutBucketLogging",
"s3:PutBucketPolicy",
"s3:PutBucketPublicAccessBlock",
"s3:PutBucketTagging",
"s3:PutBucketVersioning",
"s3:PutEncryptionConfiguration"
],
"Resource": "*"
}]
}
```
------
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez au [AWSSupport-AnalyzeEBSResourceUsage](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-AnalyzeEBSResourceUsage/description)dans la AWS Systems Manager console.
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
Amazon Resource Name (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **S3 BucketName (obligatoire) :**
Le compartiment Amazon S3 de votre compte dans lequel vous souhaitez télécharger le rapport.
+ **CustomerManagedKmsKeyArn(Facultatif) :**
La AWS KMS clé personnalisée Amazon Resource Name (ARN) pour chiffrer le nouveau compartiment Amazon S3 qui sera créé si le compartiment spécifié n'existe pas dans le compte.
![\[Input parameters for S3 bucket configuration, including bucket name and KMS key ARN.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-analyze-ebs-resource-usage_input_parameters.png)
1. Sélectionnez **Exécuter**.
1. L'automatisation démarre.
1. Le runbook d'automatisation exécute les étapes suivantes :
+ **Vérifiez la simultanéité :**
Garantit qu'il n'y a qu'un seul lancement de ce runbook dans la Région. Si le runbook trouve une autre exécution en cours, il renvoie une erreur et se termine.
+ **verifyOrCreateSeau S3 :**
Vérifie si le compartiment Amazon S3 existe. Dans le cas contraire, il crée un nouveau compartiment Amazon S3 dans la région où l'automatisation est lancée avec le format de nom`-awssupport-YYYY-MM-DD`, chiffré avec une AWS KMS clé personnalisée.
+ **gatherAmiDetails:**
Recherche des AMI, qui ne sont utilisées par aucune instance Amazon EC2, génère le rapport au format `-images.csv` de nom et le télécharge dans le compartiment Amazon S3.
+ **gatherVolumeDetails:**
Vérifie l'état disponible des volumes Amazon EBS, génère le rapport au format `-volume.csv` de nom et le télécharge dans un compartiment Amazon S3.
+ **gatherSnapshotDetails:**
Recherche les instantanés Amazon EBS des volumes Amazon EBS déjà supprimés, génère le rapport avec le format `-snapshot.csv` du nom et le télécharge dans le compartiment Amazon S3.
1. Une fois terminé, consultez la section Sorties pour connaître les résultats détaillés de l'exécution.
![\[Output details showing volume, AMI, and snapshot information for AWS resources.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-analyze-ebs-resource-usage_outputs.png)
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-AnalyzeEBSResourceUsage)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
# `AWS-ArchiveEBSSnapshots`
**Description**
Le `AWS-ArchiveEBSSnapshots` runbook vous permet d'archiver des instantanés pour les volumes Amazon Elastic Block Store (Amazon EBS) en spécifiant le tag que vous avez appliqué à vos instantanés. Vous pouvez également fournir l'ID d'un volume si vos instantanés ne sont pas balisés.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-ArchiveEBSSnapshots)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Description
Type : Chaîne
Description : (Facultatif) Description de l'instantané Amazon EBS.
+ DryRun
Type : Chaîne
Valeurs valides : Oui \$1 Non
Description : (Obligatoire) Vérifie si vous disposez des autorisations requises pour l'action, sans réellement faire la demande, et fournit une réponse d'erreur.
+ RetentionCount
Type : Chaîne
Description : (Facultatif) Nombre de clichés que vous souhaitez archiver. Ne spécifiez pas de valeur pour ce paramètre si vous spécifiez une valeur pour`RetentionDays`.
+ RetentionDays
Type : Chaîne
Description : (Facultatif) Le nombre de jours précédents de clichés que vous souhaitez archiver. Ne spécifiez pas de valeur pour ce paramètre si vous spécifiez une valeur pour`RetentionCount`.
+ SnapshotWithTag
Type : Chaîne
Valeurs valides : Oui \$1 Non
Description : (Obligatoire) Spécifie si les instantanés que vous souhaitez archiver sont balisés.
+ TagKey
Type : Chaîne
Description : (Facultatif) La clé de la balise attribuée aux instantanés que vous souhaitez archiver.
+ TagValue
Type : Chaîne
Description : (Facultatif) La valeur de la balise attribuée aux instantanés que vous souhaitez archiver.
+ VolumeId
Type : Chaîne
Description : (Facultatif) ID du volume dont vous souhaitez archiver les instantanés. Utilisez ce paramètre si vos instantanés ne sont pas balisés.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:ArchiveSnapshots`
+ `ec2:DescribeSnapshots`
**Étapes de document**
`aws:executeScript`- Archive les instantanés à l'aide de la balise que vous spécifiez à l'aide `TagValue` des paramètres `TagKey` et, ou du `VolumeId` paramètre.
# `AWS-AttachEBSVolume`
**Description**
Associez un volume Amazon Elastic Block Store (Amazon EBS) à une instance Amazon Elastic Compute Cloud (Amazon EC2).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-AttachEBSVolume)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Appareil
Type : Chaîne
Description : (Obligatoire) Nom du périphérique (par exemple, /dev/sdh ou xvdh).
+ InstanceId
Type : Chaîne
Description : (Obligatoire) ID de l'instance à laquelle vous souhaitez attacher le volume.
+ VolumeId
Type : Chaîne
Description : (Obligatoire) L'ID du volume Amazon EBS. Le volume et l’instance doivent être dans la même zone de disponibilité.
# `AWSSupport-CalculateEBSPerformanceMetrics`
**Description**
Le `AWSSupport-CalculateEBSPerformanceMetrics` runbook permet de diagnostiquer les problèmes de performances d'Amazon EBS en calculant et en publiant des indicateurs de performance sur un CloudWatch tableau de bord. Le tableau de bord affiche l'estimation des IOPS et du débit moyens pour un volume Amazon EBS cible ou pour tous les volumes attachés à l'instance Amazon Elastic Compute Cloud (Amazon EC2) cible. Pour les instances Amazon EC2, il indique également les IOPS et le débit moyens de l'instance. Le runbook affiche le lien vers le tableau de CloudWatch bord nouvellement créé qui affiche les CloudWatch mesures calculées pertinentes. Le CloudWatch tableau de bord est créé dans votre compte sous le nom :`AWSSupport--EBS-Performance-`.
**Fonctionnement**
Le runbook exécute les étapes suivantes :
+ Garantit que les horodatages spécifiés sont valides.
+ Valide si l'ID de ressource (volume Amazon EBS ou instance Amazon EC2) est valide.
+ Lorsque vous fournissez un Amazon EC2 en tant que ResourceID, il crée un CloudWatch tableau de bord avec le total réel pour cette instance IOPS/Throughput Amazon EC2 et le graphique des IOPS/débit moyens estimés pour tous les volumes Amazon EBS attachés à une instance Amazon EC2.
+ Lorsque vous fournissez un volume Amazon EBS en tant que ResourceID, un tableau de bord est créé avec CloudWatch un graphique de la IOPS/Throughput moyenne estimée pour ce volume.
+ Une fois le CloudWatch tableau de bord généré, si le débit moyen estimé par seconde ou le débit moyen estimé est supérieur au nombre maximal d'IOPS ou au débit maximal, le microbursting est possible pour le ou les volumes attachés à une instance Amazon EC2.
**Note**
Pour les volumes éclatables (gp2, sc2 et st1), le maximum IOPS/throughput doit être pris en compte, jusqu'à ce que vous obteniez un équilibre de rafale. Une fois que la balance de rafale est complètement utilisée, c'est-à-dire qu'elle devient nulle, considérez IOPS/throughput les mesures de base.
**Important**
La création du CloudWatch tableau de bord peut entraîner des frais supplémentaires sur votre compte. Pour plus d'informations, consultez le [guide de CloudWatch tarification Amazon](https://aws.amazon.com/cloudwatch/pricing).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-CalculateEBSPerformanceMetrics)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:DescribeVolumes`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceTypes`
+ `cloudwatch:PutDashboard`
Exemple de politique
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "cloudwatch:PutDashboard",
"Resource": "arn:aws:cloudwatch::111122223333:dashboard/*-EBS-Performance-*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeInstanceTypes"
],
"Resource": "*"
}
]
}
```
------
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-CalculateEBSPerformanceMetrics/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-CalculateEBSPerformanceMetrics/description)à Systems Manager sous Documents.
1. Sélectionnez Execute automation (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
Amazon Resource Name (ARN) du rôle AWS Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **ResourceID (obligatoire) :**
L'ID de l'instance Amazon EC2 ou du volume Amazon EBS.
+ **Heure de début (obligatoire) :**
Heure de début de l'affichage des données CloudWatch. L'heure doit être au format `yyyy-mm-ddThh:mm:ss` et en UTC.
+ **Heure de fin (obligatoire) :**
Heure de fin d'affichage des données CloudWatch. L'heure doit être au format `yyyy-mm-ddThh:mm:ss` et en UTC.
![\[Input parameters form for AWS Systems Manager Automation with fields for role, resource ID, and time range.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-calculate-ebs-performance-metrics_input_parameters.png)
1. Sélectionnez Exécuter.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **CheckResourceIdAndTimeStamps:**
Vérifie si l'heure de fin est supérieure à l'heure de début d'au moins une minute et si la ressource fournie existe.
+ **CreateCloudWatchDashboard:**
Calcule les performances d'Amazon EBS et affiche un graphique basé sur votre identifiant de ressource. Si vous fournissez un identifiant de volume Amazon EBS pour le paramètre Resource ID, ce runbook crée un CloudWatch tableau de bord avec des estimations d'IOPS moyennes et un débit moyen estimé pour le volume Amazon EBS. Si vous fournissez un ID d'instance Amazon EC2 pour le paramètre Resource ID, ce runbook crée un CloudWatch tableau de bord avec le total moyen d'IOPS et le débit total moyen pour l'instance Amazon EC2, ainsi que les IOPS moyens estimés et le débit moyen estimé pour tous les volumes Amazon EBS attachés à l'instance Amazon EC2.
1. Une fois terminé, consultez la section Sorties pour obtenir les résultats détaillés de l'exécution :
![\[CloudWatch dashboard creation output showing a URL link and a message with instructions.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-calculate-ebs-performance-metrics_outputs.png)
Exemple CloudWatch de tableau de bord pour l'ID de ressource en tant qu'instance Amazon EC2
![\[CloudWatch dashboard showing EC2 instance metrics with graphs for IOPS, throughput, and volume performance.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-calculate-ebs-performance-metrics_dashboard_ec2_instance.png)
Exemple CloudWatch de tableau de bord pour l'ID de ressource en tant qu'identifiant de volume Amazon EBS
![\[CloudWatch dashboard showing EBS volume performance metrics with IOPS and throughput graphs.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-calculate-ebs-performance-metrics_dashboard_ebs_volume.png)
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-CalculateEBSPerformanceMetrics/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
AWS documentation de service
+ [Comment puis-je déterminer si mon volume Amazon EBS est en microrafale et empêcher que cela ne se produise ?](https://repost.aws/knowledge-center/ebs-identify-micro-bursting)
+ [Comment puis-je consulter les mesures CloudWatch de performance agrégées d'Amazon EBS pour une instance EC2 ?](https://repost.aws/knowledge-center/ebs-aggregate-cloudwatch-performance)
# `AWS-CopySnapshot`
**Description**
Copie un point-in-time instantané d'un volume Amazon Elastic Block Store (Amazon EBS). Vous pouvez copier l'instantané dans la même région Région AWS ou d'une région à l'autre. Les copies des instantanés Amazon EBS chiffrés restent chiffrées. Les copies des instantanés non chiffrés restent non chiffrées. Pour copier un instantané chiffré qui a été partagé depuis un autre compte, vous devez disposer des autorisations relatives à la clé KMS utilisée pour chiffrer le cliché. Les instantanés créés par l'action CopySnapshot ont un ID de volume arbitraire qui ne doit être utilisé en aucun cas.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CopySnapshot)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Description
Type : Chaîne
Description : (Facultatif) Description de l'instantané Amazon EBS.
+ SnapshotId
Type : Chaîne
Description : (Obligatoire) L'ID de l'instantané Amazon EBS à copier.
+ SourceRegion
Type : Chaîne
Description : (Obligatoire) région dans laquelle l'instantané source existe actuellement.
**Étapes de document**
CopySnapshot : copie un instantané d'un volume Amazon EBS.
**Sorties**
CopySnapshot. SnapshotId - L'ID du nouveau cliché.
# `AWS-CreateSnapshot`
**Description**
Créez un instantané d'un volume Amazon EBS.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CreateSnapshot)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Description
Type : Chaîne
Description : (Facultatif) description de l'instantané
+ VolumeId
Type : Chaîne
Description : (Obligatoire) ID du volume.
# `AWS-DeleteSnapshot`
**Description**
Supprimez un instantané d'un volume Amazon EBS.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-DeleteSnapshot)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ SnapshotId
Type : Chaîne
Description : (Obligatoire) ID de l'instantané EBS.
# `AWSConfigRemediation-DeleteUnusedEBSVolume`
**Description**
Le `AWSConfigRemediation-DeleteUnusedEBSVolume` runbook supprime un volume Amazon Elastic Block Store (Amazon EBS) inutilisé.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteUnusedEBSVolume)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ CreateSnapshot
Type : Boolean
Description : (Facultatif) Si ce paramètre est défini sur`true`, l'automatisation crée un instantané du volume Amazon EBS avant sa suppression.
+ VolumeId
Type : Chaîne
Description : (Obligatoire) L'ID du volume Amazon EBS que vous souhaitez supprimer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:CreateSnapshot`
+ `ec2:DeleteVolume`
+ `ec2:DescribeSnapshots`
+ `ec2:DescribeVolumes`
**Étapes de document**
+ `aws:executeScript`- Vérifie que le volume Amazon EBS que vous spécifiez dans le `VolumeId` paramètre n'est pas utilisé et crée un instantané en fonction de la valeur que vous avez choisie pour le `CreateSnapshot` paramètre.
+ `aws:branch`- Branches basées sur la valeur que vous avez choisie pour le `CreateSnapshot` paramètre.
+ `aws:waitForAwsResourceProperty`- Attend que la capture d'écran soit terminée.
+ `aws:executeAwsApi`- Supprime le cliché en cas d'échec de la création du cliché.
+ `aws:executeAwsApi`- Supprime le volume Amazon EBS que vous spécifiez dans le `VolumeId` paramètre.
+ `aws:executeScript`- Vérifie que le volume Amazon EBS a été supprimé.
# `AWS-DeregisterAMIs`
**Description**
Le `AWS-DeregisterAMIs` runbook vous aide à vous désinscrire Amazon Machine Images (AMIs) en spécifiant le tag que vous avez appliqué à votre. AMIs
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-DeregisterAMIs)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ DryRun
Type : Chaîne
Valeurs valides : Oui \$1 Non
Description : (Obligatoire) Vérifie si vous disposez des autorisations requises pour l'action, sans réellement faire la demande, et fournit une réponse d'erreur.
+ RetainNumber
Type : Chaîne
Description : (Facultatif) Le numéro AMIs que vous souhaitez conserver. Ne spécifiez pas de valeur pour ce paramètre si vous spécifiez une valeur pour`Age`.
+ Age
Type : Chaîne
Description : (Facultatif) Le nombre de jours précédents AMIs que vous souhaitez conserver. Ne spécifiez pas de valeur pour ce paramètre si vous spécifiez une valeur pour`RetainNumber`.
+ TagKey
Type : Chaîne
Description : (Obligatoire) La clé du tag attribué à celui AMIs que vous souhaitez désenregistrer.
+ TagValue
Type : Chaîne
Description : (Obligatoire) La valeur du tag attribué à celui AMIs que vous souhaitez désenregistrer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:DeregisterImage`
+ `ec2:DescribeImages`
**Étapes de document**
+ `aws:executeAwsApi`- Valide les valeurs que vous spécifiez pour les paramètres d'entrée du runbook.
+ `aws:executeAwsApi`- Désenregistre à AMIs l'aide de la balise que vous avez spécifiée à l'`TagKey`aide des paramètres et. `TagValue`
# `AWS-DetachEBSVolume`
**Description**
Détachez un volume Amazon EBS d'une instance Amazon Elastic Compute Cloud (Amazon EC2).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-DetachEBSVolume)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ LambdaAssumeRole
Type : Chaîne
Description : (Facultatif) L'ARN du rôle assumé par Lambda
+ VolumeId
Type : Chaîne
Description : (Obligatoire) ID du volume EBS. Le volume et l'instance doivent être dans la même zone de disponibilité.
# `AWSConfigRemediation-EnableEbsEncryptionByDefault`
**Description**
Le `AWSConfigRemediation-EnableEbsEncryptionByDefault` runbook permet le chiffrement de tous les nouveaux volumes Amazon Elastic Block Store (Amazon EBS) présents dans Compte AWS et sur Région AWS lesquels vous exécutez l'automatisation. Les volumes créés avant l'exécution de l'automatisation ne sont pas chiffrés.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableEbsEncryptionByDefault)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:EnableEbsEncryptionByDefault`
+ `ec2:GetEbsEncryptionByDefault`
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
**Étapes de document**
+ `aws:executeAwsApi`- Active le paramètre de chiffrement Amazon EBS par défaut dans le compte courant et la région.
+ `aws:assertAwsResourceProperty`- Vérifie que le paramètre de chiffrement par défaut d'Amazon EBS a été activé.
# `AWS-ExtendEbsVolume`
**Description**
Le `AWS-ExtendEbsVolume` runbook augmente la taille d'un volume Amazon EBS et étend le système de fichiers. Cette automatisation prend en charge les systèmes de `ext4` fichiers `xfs` et.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-ExtendEbsVolume)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ DriveLetter
Type : Chaîne
Description : (Facultatif) La lettre du lecteur dont vous souhaitez étendre le système de fichiers. Ce paramètre est obligatoire pour les Windows instances.
+ InstanceId
Type : Chaîne
Description : (Facultatif) L'ID de l'instance Amazon EC2 à laquelle le volume Amazon EBS que vous souhaitez étendre est attaché.
+ KeepSnapshot
Type : Boolean
Valeur par défaut : true
Description : (Facultatif) Détermine s'il convient de conserver l'instantané créé avant d'augmenter la taille de votre volume Amazon EBS.
+ MountPoint
Type : Chaîne
Description : (Facultatif) Point de montage du lecteur dont vous souhaitez étendre le système de fichiers. Ce paramètre est obligatoire pour les instances Linux.
+ SizeGib
Type : Chaîne
Description : (Obligatoire) La taille en GiB à laquelle vous souhaitez modifier votre volume Amazon EBS.
+ VolumeId
Type : Chaîne
Description : (Obligatoire) L'ID du volume EBS que vous souhaitez étendre.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:CreateSnapshot`
+ `ec2:CreateTags`
+ `ec2:DeleteSnapshot`
+ `ec2:DescribeVolumes`
+ `ec2:ModifyVolume`
+ `ssm:DescribeInstanceInformation`
+ `ssm:GetCommandInvocation`
+ `ssm:SendCommand`
**Étapes de document**
+ `aws:executeScript`- Augmente la taille du volume jusqu'à la valeur que vous spécifiez dans le `VolumeId` paramètre et étend le système de fichiers.
# `AWSSupport-ModifyEBSSnapshotPermission`
**Description**
Le `AWSSupport-ModifyEBSSnapshotPermission` runbook vous permet de modifier les autorisations pour plusieurs instantanés Amazon Elastic Block Store (Amazon EBS). À l'aide de ce runbook, vous pouvez créer des instantanés `Public` ou `Private` les partager avec d'autres. Comptes AWS Les instantanés chiffrés avec une clé KMS par défaut ne peuvent pas être partagés avec d'autres comptes utilisant ce runbook.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ModifyEBSSnapshotPermissions)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ AccountIds
Type : StringList
Par défaut: Aucun
Description : (Facultatif) Les IDs comptes avec lesquels vous souhaitez partager des instantanés. Ce paramètre est obligatoire si vous entrez `No` la valeur du `Private` paramètre.
+ AccountPermissionOperation
Type : Chaîne
Valeurs valides : ajouter \$1 supprimer
Par défaut: Aucun
Description : (Facultatif) Type d'opération à effectuer.
+ Privé
Type : Chaîne
Valeurs valides : Oui \$1 Non
Description : (Obligatoire) Entrez `No` la valeur si vous souhaitez partager des instantanés avec des comptes spécifiques.
+ SnapshotIds
Type : StringList
Description : (Obligatoire) Les IDs instantanés Amazon EBS dont vous souhaitez modifier l'autorisation.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DescribeSnapshots`
+ `ec2:ModifySnapshotAttribute`
**Étapes de document**
1. `aws:executeScript`- Vérifie les IDs instantanés fournis dans le `SnapshotIds` paramètre. Après avoir vérifié le IDs, le script vérifie s'il existe des instantanés chiffrés et affiche une liste s'il en trouve.
1. `aws:branch`- Branche l'automatisation en fonction de la valeur que vous entrez pour le `Private` paramètre.
1. `aws:executeScript`- Modifie les autorisations des instantanés spécifiés pour les partager avec les comptes spécifiés.
1. `aws:executeScript`- Modifie les autorisations des instantanés pour les faire passer de `Public` à. `Private`
**Sorties**
ValidateSnapshots.EncryptedSnapshots
SharewithOtherAccounts.Résultat
MakePrivate.Résultat
MakePrivate.Commandes
# `AWSConfigRemediation-ModifyEBSVolumeType`
**Description**
Le `AWSConfigRemediation-ModifyEBSVolumeType` runbook modifie le type de volume d'un volume Amazon Elastic Block Store (Amazon EBS). Une fois le type de volume modifié, le volume entre dans un `optimizing` état. Pour plus d'informations sur le suivi de la progression des modifications de volume, consultez la section [Surveillance de la progression des modifications de volume](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-volume-modifications.html) dans le guide de l'*utilisateur Amazon EC2*.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-ModifyEBSVolumeType)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ EbsVolumeId
Type : Chaîne
Description : (Obligatoire) L'ID du volume Amazon EBS que vous souhaitez modifier.
+ EbsVolumeType
Type : Chaîne
Valeurs valides : standard \$1 io1 \$1 io2 \$1 gp2 \$1 gp3 \$1 sc1 \$1 st1
Description : le type de volume que vous souhaitez remplacer par le volume Amazon EBS. Pour plus d'informations sur les types de volumes Amazon EBS, consultez la section Types de [volumes Amazon EBS dans le guide de](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-volume-types.html) l'utilisateur *Amazon EC2*.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DescribeVolumes`
+ `ec2:ModifyVolume`
**Étapes de document**
+ `aws:waitForAwsResourceProperty`- Vérifie que l'état du volume est `available` ou`in-use`.
+ `aws:executeAwsApi`- Modifie le volume Amazon EBS que vous spécifiez dans le `EbsVolumeId` paramètre.
+ `aws:waitForAwsResourceProperty`- Vérifie que le type du volume a été modifié à la valeur que vous avez spécifiée dans le `EbsVolumeType` paramètre.
# Amazon EC2
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon Elastic Compute Cloud. Les Runbooks pour Amazon Elastic Block Store se trouvent dans la [Amazon EBS](automation-ref-ebs.md) section Runbook Reference. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-ASGEnterStandby`](automation-aws-asgenterstandby.md)
+ [`AWS-ASGExitStandby`](automation-aws-asgexitstandby.md)
+ [`AWS-CreateImage`](automation-aws-createimage.md)
+ [`AWS-DeleteImage`](automation-aws-deleteimage.md)
+ [`AWS-PatchAsgInstance`](automation-aws-patchasginstance.md)
+ [`AWS-PatchInstanceWithRollback`](automation-aws-patchinstancewithrollback.md)
+ [`AWS-QuarantineEC2Instance`](aws-quarantineec2instance.md)
+ [`AWS-ResizeInstance`](automation-aws-resizeinstance.md)
+ [`AWS-RestartEC2Instance`](automation-aws-restartec2instance.md)
+ [`AWS-SetupJupyter`](aws-setup-jupyter.md)
+ [`AWS-StartEC2Instance`](automation-aws-startec2instance.md)
+ [`AWS-StopEC2Instance`](automation-aws-stopec2instance.md)
+ [`AWS-TerminateEC2Instance`](automation-aws-terminateec2instance.md)
+ [`AWS-UpdateLinuxAmi`](automation-aws-updatelinuxami.md)
+ [`AWS-UpdateWindowsAmi`](automation-aws-updatewindowsami.md)
+ [`AWSConfigRemediation-EnableAutoScalingGroupELBHealthCheck`](automation-aws-enable-asg-health-check.md)
+ [`AWSConfigRemediation-EnforceEC2InstanceIMDSv2`](automation-aws-enforce-ec2-imdsv2.md)
+ [`AWSEC2-CloneInstanceAndUpgradeSQLServer`](automation-awsec2-CloneInstanceAndUpgradeSQLServer.md)
+ [`AWSEC2-CloneInstanceAndUpgradeWindows`](automation-awsec2-CloneInstanceAndUpgradeWindows.md)
+ [`AWSEC2-PatchLoadBalancerInstance`](automation-awsec2-patch-load-balancer-instance.md)
+ [`AWSEC2-SQLServerDBRestore`](automation-awsec2-sqlserverdbrestore.md)
+ [`AWSSupport-ActivateWindowsWithAmazonLicense`](automation-awssupport-activatewindowswithamazonlicense.md)
+ [`AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2`](automation-awssupport-analyzeawsendpointreachabilityfromec2.md)
+ [`AWSPremiumSupport-ChangeInstanceTypeIntelToAMD`](automation-aws-changeinstancetypeinteltoamd.md)
+ [`AWSSupport-CheckXenToNitroMigrationRequirements`](automation-awssupport-checkxentonitromigrationrequirements.md)
+ [`AWSSupport-CloneXenEC2InstanceAndMigrateToNitro`](automation-awssupport-clonexenec2instanceandmigratetonitro.md)
+ [`AWSSupport-ConfigureEC2Metadata`](automation-awssupport-configureec2metadata.md)
+ [`AWSSupport-ContainEC2Instance`](automation-awssupport-containec2instance.md)
+ [`AWSSupport-CopyEC2Instance`](automation-awssupport-copyec2instance.md)
+ [`AWSPremiumSupport-DiagnoseDiskUsageOnLinux`](automation-awspremiumsupport-diagnosediskusageonlinux.md)
+ [`AWSSupport-EnableWindowsEC2SerialConsole`](automation-enable-windows-ec2-serial-console.md)
+ [`AWSPremiumSupport-ExtendVolumesOnWindows`](automation-awspremiumsupport-extendvolumesonwindows.md)
+ [`AWSSupport-ExecuteEC2Rescue`](automation-awssupport-executeec2rescue.md)
+ [`AWSSupport-ListEC2Resources`](automation-awssupport-listec2resources.md)
+ [`AWSSupport-ManageRDPSettings`](automation-awssupport-managerdpsettings.md)
+ [`AWSSupport-ManageWindowsService`](automation-awssupport-managewindowsservice.md)
+ [`AWSSupport-MigrateEC2ClassicToVPC`](automation-awssupport-migrate-ec2-classic-to-vpc.md)
+ [`AWSSupport-MigrateXenToNitroLinux`](automation-awssupport-migrate-xen-to-nitro.md)
+ [`AWSSupport-ResetAccess`](automation-awssupport-resetaccess.md)
+ [`AWSSupport-ResetLinuxUserPassword`](automation-awssupport-resetlinuxuserpassword.md)
+ [`AWSSupport-RunEC2RescueForWindowsTool`](automation-awssupport-runec2rescueforwindowstool.md)
+ [`AWSPremiumSupport-ResizeNitroInstance`](automation-aws-resizenitroinstance.md)
+ [`AWSSupport-ShareEncryptedAMIOrEBSSnapshot`](awssupport-share-encrypted-ami-or-ebs-snapshot.md)
+ [`AWSSupport-RestoreEC2InstanceFromSnapshot`](automation-awssupport-restoreec2instancefromsnapshot.md)
+ [`AWSSupport-SendLogBundleToS3Bucket`](automation-awssupport-sendlogbundletos3bucket.md)
+ [`AWSSupport-StartEC2RescueWorkflow`](automation-awssupport-startec2rescueworkflow.md)
+ [`AWSSupport-TroubleshootActiveDirectoryReplication`](automation-aws-troubleshootactivedirectoryreplication.md)
+ [`AWSPremiumSupport-TroubleshootEC2DiskUsage`](automation-awspremiumsupport-troubleshootEC2diskusage.md)
+ [`AWSSupport-TroubleshootEC2InstanceConnect`](automation-troubleshoot-ec2-instance-connect.md)
+ [`AWSSupport-TroubleshootLinuxMGNDRSAgentLogs`](automation-troublshoot-linux-mngdrs-agent-logs.md)
+ [`AWSSupport-TroubleshootRDP`](automation-awssupport-troubleshootrdp.md)
+ [`AWSSupport-TroubleshootSSH`](automation-awssupport-troubleshootssh.md)
+ [`AWSSupport-TroubleshootSUSERegistration`](automation-awssupport-troubleshoot-suse-registration.md)
+ [`AWSSupport-TroubleshootWindowsPerformance`](awssupport-troubleshoot-windows-performance.md)
+ [`AWSSupport-TroubleshootWindowsUpdate`](awssupport-troubleshoot-windows-update.md)
+ [`AWSSupport-UpgradeWindowsAWSDrivers`](automation-awssupport-upgradewindowsawsdrivers.md)
# `AWS-ASGEnterStandby`
**Description**
Modifiez l'état de veille d'une instance Amazon Elastic Compute Cloud (Amazon EC2) dans un groupe Auto Scaling.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-ASGEnterStandby)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : String
Description : ID (obligatoire) d'une EC2 instance Amazon dont vous souhaitez modifier l'état de veille au sein d'un groupe Auto Scaling.
+ LambdaRoleArn
Type : String
Description : (Facultatif) ARN du rôle qui autorise la fonction Lambda créée par Automation à effectuer des actions en votre nom. Si vous ne spécifiez pas cette valeur, un rôle transitoire est créé pour exécuter la fonction Lambda.
# `AWS-ASGExitStandby`
**Description**
Modifiez l'état de veille d'une instance Amazon Elastic Compute Cloud (Amazon EC2) dans un groupe Auto Scaling.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-ASGExitStandby)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : String
Description : ID (obligatoire) d'une EC2 instance dont vous souhaitez modifier l'état de veille au sein d'un groupe Auto Scaling.
+ LambdaRoleArn
Type : String
Description : (Facultatif) ARN du rôle qui autorise la fonction Lambda créée par Automation à effectuer des actions en votre nom. Si vous ne spécifiez pas cette valeur, un rôle transitoire est créé pour exécuter la fonction Lambda.
# `AWS-CreateImage`
**Description**
Créez une nouvelle Amazon Machine Image (AMI) à partir d'une instance Amazon Elastic Compute Cloud (Amazon EC2).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CreateImage)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : Chaîne
Description : (obligatoire) ID de l'instance EC2.
+ NoReboot
Type : Boolean
Description : (Facultatif) ne redémarrez pas l'instance avant de créer l'image.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateImage",
"ec2:DescribeImages"
],
"Resource": [
"*"
]
}
]
}
```
------
# `AWS-DeleteImage`
**Description**
Supprimez an Amazon Machine Image (AMI) et tous les instantanés associés.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-DeleteImage)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ ImageId
Type : Chaîne
Description : (Obligatoire) ID de l'AMI.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DeleteSnapshot",
"Resource": "arn:aws:ec2:*:*:snapshot/*"
},
{
"Effect": "Allow",
"Action": "ec2:DescribeImages",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DeregisterImage",
"Resource": "*"
}
]
}
```
------
# `AWS-PatchAsgInstance`
**Description**
Appliquez des correctifs aux instances Amazon Elastic Compute Cloud (Amazon EC2) dans un groupe Auto Scaling.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-PatchAsgInstance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : String
Description : (Obligatoire) ID de l'instance à corriger. Ne spécifiez pas d'ID d'instance configuré pour s'exécuter pendant une fenêtre de maintenance.
+ LambdaRoleArn
Type : String
Description : (Facultatif) L'ARN du rôle qui permet au Lambda créé par Automation d'effectuer les actions en votre nom. S'il n'est pas spécifié, un rôle transitoire sera créé pour exécuter la fonction Lambda.
+ WaitForInstance
Type : String
Par défaut : PT2 M
Description : (Facultatif) Durée pendant laquelle l'automatisation doit être mise en veille pour permettre à l'instance de revenir en service.
+ WaitForReboot
Type : String
Par défaut : PT5 M
Description : (Facultatif) Durée pendant laquelle l'automatisation doit être mise en veille pour permettre à une instance corrigée de redémarrer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ssm:GetCommandInvocation`
+ `ssm:GetParameter`
+ `ssm:SendCommand`
+ `cloudformation:CreateStack`
+ `cloudformation:DeleteStack`
+ `cloudformation:DescribeStacks`
+ `ec2:CreateTags`
+ `ec2:DescribeInstances`
+ `ec2:RunInstances`
+ `iam:AttachRolePolicy`
+ `iam:CreateRole`
+ `iam:DeleteRole`
+ `iam:DeleteRolePolicy`
+ `iam:DetachRolePolicy`
+ `iam:GetRole`
+ `iam:PassRole`
+ `iam:PutRolePolicy`
+ `lambda:CreateFunction`
+ `lambda:DeleteFunction`
+ `lambda:GetFunction`
+ `lambda:InvokeFunction`
# `AWS-PatchInstanceWithRollback`
**Description**
Met une EC2 instance en conformité avec la ligne de base de correctifs applicable. Annule le volume racine en cas de défaillance.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-PatchInstanceWithRollback)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : String
Description : (Obligatoire) EC2 InstanceId à laquelle nous appliquons le correctif de référence.
+ LambdaAssumeRole
Type : String
Description : (Facultatif) ARN du rôle qui autorise la fonction Lambda créée par Automation à effectuer des actions en votre nom. Si vous ne spécifiez pas cette valeur, un rôle transitoire est créé pour exécuter la fonction Lambda.
+ ReportS3Bucket
Type : String
Description : destination du compartiment Amazon S3 (facultatif) pour le rapport de conformité généré au cours du processus.
**Étapes de document**
****
| Numéro de l'étape | Nom de l'étape | Action Automation |
| --- | --- | --- |
| 1 | createDocumentStack | `aws:createStack` |
| 2 | IdentifyRootVolume | `aws:invokeLambdaFunction` |
| 3 | PrePatchSnapshot | `aws:executeAutomation` |
| 4 | installMissingUpdates | `aws:runCommand` |
| 5 | SleepThruInstallation | `aws:invokeLambdaFunction` |
| 6 | CheckCompliance | `aws:invokeLambdaFunction` |
| 7 | SaveComplianceReportToS3 | `aws:invokeLambdaFunction` |
| 8 | ReportSuccessOrFailure | `aws:invokeLambdaFunction` |
| 9 | RestoreFromSnapshot | `aws:invokeLambdaFunction` |
| 10 | DeleteSnapshot | `aws:invokeLambdaFunction` |
| 11 | deleteCloudFormationModèle | `aws:deleteStack` |
**Sorties**
IdentifyRootVolume.Charge utile
PrePatchSnapshot.Sortie
SaveComplianceReportToS3. Charge utile
RestoreFromSnapshot.Charge utile
CheckCompliance.Charge utile
# `AWS-QuarantineEC2Instance`
**Description**
Avec le `AWS-QuarantineEC2Instance` runbook, vous pouvez attribuer un groupe de sécurité à une instance Amazon Elastic Compute Cloud (Amazon EC2) qui n'autorise aucun trafic entrant ou sortant.
**Important**
Les modifications apportées aux paramètres RDP doivent être soigneusement examinées avant d'exécuter ce runbook.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-QuarantineEC2Instance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : String
Description : (Obligatoire) ID de l'instance chargée de gérer les paramètres RDP.
+ IsolationSecurityGroup
Type : String
Description : (Obligatoire) Nom du groupe de sécurité que vous souhaitez attribuer à l'instance pour empêcher le trafic entrant ou sortant.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `autoscaling:DescribeAutoScalingInstances`
+ `autoscaling:DetachInstances`
+ `ec2:CreateSecurityGroup`
+ `ec2:CreateSnapshot`
+ `ec2:DescribeInstances`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSnapshots`
+ `ec2:ModifyInstanceAttribute`
+ `ec2:RevokeSecurityGroupEgress`
+ `ec2:RevokeSecurityGroupIngress`
**Étapes de document**
+ `aws:executeAwsApi`- Recueille des informations sur l'instance.
+ `aws:executeScript`- Vérifie que l'instance ne fait pas partie d'un groupe Auto Scaling.
+ `aws:executeAwsApi`- Crée un instantané du volume racine attaché à l'instance.
+ `aws:waitForAwsResourceProperty`- Attend que l'état de capture soit atteint. `completed`
+ `aws:executeAwsApi`- Affecte le groupe de sécurité spécifié dans le `IsolationSecurityGroup` paramètre à votre instance.
**Sorties**
`GetEC2InstanceResources.RevokedSecurityGroupsIds`
`GetEC2InstanceResources.RevokedSecurityGroupsNames`
`createSnapshot.SnapId`
# `AWS-ResizeInstance`
**Description**
Modifiez le type d'instance d'une instance Amazon Elastic Compute Cloud (Amazon EC2).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-ResizeInstance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : String
Description : (Obligatoire) ID de l'instance.
+ InstanceType
Type : String
Description : (Obligatoire) type de l'instance.
# `AWS-RestartEC2Instance`
**Description**
Redémarrez une ou plusieurs instances Amazon Elastic Compute Cloud (Amazon EC2).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-RestartEC2Instance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : StringList
Description : (Obligatoire) Les IDs EC2 instances Amazon à redémarrer.
# `AWS-SetupJupyter`
**Description**
Le `AWS-SetupJupyter` runbook vous aide à configurer Jupyter Notebook sur une instance Amazon Elastic Compute Cloud (Amazon EC2). Vous pouvez soit spécifier une instance existante, soit fournir un Amazon Machine Image (AMI) ID pour l'automatisation permettant de lancer et de configurer une nouvelle instance. Avant de commencer, vous devez créer un `SecureString` paramètre dans Parameter Store à utiliser comme mot de passe pour Jupyter Notebook. Parameter Store est un outil de AWS Systems Manager. Pour plus d'informations sur la création de paramètres, voir [Création de paramètres](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-paramstore-su-create.html) dans le *Guide de AWS Systems Manager l'utilisateur*.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-SetupJupyter)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ AmiId
Type : String
Description : (Facultatif) L'identifiant du AMI que vous souhaitez utiliser pour lancer une nouvelle instance et configurer Jupyter Notebook.
+ InstanceId
Type : String
Description : (Obligatoire) L'ID de l'instance sur laquelle vous souhaitez configurer Jupyter Notebook.
+ InstanceType
Type : String
Par défaut : t3.medium
Description : (Facultatif) Si vous lancez une nouvelle instance pour configurer Jupyter Notebook, spécifiez le type d'instance que vous souhaitez utiliser.
+ JupyterPasswordSSMKey
Type : String
Description : (Obligatoire) Nom du `SecureString` paramètre dans Parameter Store que vous souhaitez utiliser comme mot de passe pour Jupyter Notebook.
+ KeyPairName
Type : String
Description : (Facultatif) La paire de clés que vous souhaitez associer à la nouvelle instance lancée.
+ RemoteAccessCidr
Type : String
Par défaut : 0.0.0.0/0
Description : (Facultatif) La plage d'adresses CIDR à partir de laquelle vous souhaitez autoriser le trafic SSH.
+ RoleName
Type : String
Par défaut : SSMManaged InstanceProfileRole
Description : (Facultatif) Nom du profil d'instance pour l'instance nouvellement lancée.
+ StackName
Type : String
Par défaut : CreateManagedInstanceStack \$1\$1Automation:Execution\$1ID\$1\$1
Description : (Facultatif) Le nom de la CloudFormation pile que vous souhaitez que l'automatisation utilise.
+ SubnetId
Type : String
Par défaut : Default
Description : (Facultatif) Le sous-réseau que vous souhaitez lancer la nouvelle instance à utiliser.
+ VpcId
Type : String
Par défaut : Default
Description : (Facultatif) L'ID du cloud privé virtuel (VPC) dans lequel vous souhaitez lancer la nouvelle instance.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:GetAutomationExecution`
+ `ssm:GetCommandInvocation`
+ `ssm:GetParameter`
+ `ssm:SendCommand`
+ `ssm:StartAutomationExecution`
+ `cloudformation:CreateStack`
+ `cloudformation:DeleteStack`
+ `cloudformation:DescribeStacks`
+ `ec2:DescribeInstances`
+ `ec2:DescribeKeyPairs`
+ `ec2:RunInstances`
+ `iam:AttachRolePolicy`
+ `iam:CreateRole`
+ `iam:DeleteRole`
+ `iam:DeleteRolePolicy`
+ `iam:DetachRolePolicy`
+ `iam:GetRole`
+ `iam:PassRole`
+ `iam:PutRolePolicy`
+ `lambda:CreateFunction`
+ `lambda:DeleteFunction`
+ `lambda:GetFunction`
+ `lambda:InvokeFunction`
**Étapes de document**
+ `aws:executeScript`- Configure Jupyter Notebook sur l'instance que vous spécifiez, ou sur une instance récemment lancée, en utilisant les valeurs que vous spécifiez pour les paramètres d'entrée du runbook.
# `AWS-StartEC2Instance`
**Description**
Démarrez une ou plusieurs instances Amazon Elastic Compute Cloud (Amazon EC2).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-StartEC2Instance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : StringList
Description : EC2 instances (obligatoires) pour démarrer.
# `AWS-StopEC2Instance`
**Description**
Arrête une ou plusieurs instances Amazon Elastic Compute Cloud (Amazon EC2).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-StopEC2Instance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : StringList
Description : EC2 instances (obligatoires) à arrêter.
# `AWS-TerminateEC2Instance`
**Description**
Mettez fin à une ou plusieurs instances Amazon Elastic Compute Cloud (Amazon EC2).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-TerminateEC2Instance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : StringList
Description : (Obligatoire) IDs d'une ou de plusieurs EC2 instances à mettre fin.
# `AWS-UpdateLinuxAmi`
**Description**
Mettez à jour an Amazon Machine Image (AMI) avec les packages de distribution Linux et le logiciel Amazon.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-UpdateLinuxAmi)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
Modèle autorisé : `^$|^arn:aws[a-z0-9-]*:iam::(\d{12}|\{\{global:ACCOUNT_ID\}\}):role/[\w/.@+=,-]{1,1017}$`
+ Il doit s'agir d'un ARN de rôle IAM valide ou d'une chaîne vide. La variable système `{{global:ACCOUNT_ID}}` peut être utilisée à la place de l'ID de AWS compte dans l'arn.
+ ExcludePackages
Type : Chaîne
Par défaut: Aucun
Description : (Facultatif) noms des packages spécifiques à exclure des mises à jour, sous toutes les conditions. Avec la valeur par défaut ("none"), aucun package n'est exclu.
Modèle autorisé : `^(none|[a-zA-Z0-9\s,._+:=<>()\[\]/*-]+)$`
+ Il doit s'agir de « aucun » OU d'une liste d'éléments séparés par des virgules composée de lettres, de chiffres, d'espaces et des caractères suivants : `, . _ + : = < > ( ) [ ] / * -`
+ IamInstanceProfileName
Type : Chaîne
Par défaut : ManagedInstanceProfile
Description : (Obligatoire) Le profil d'instance qui permet à Systems Manager de gérer l'instance.
Modèle autorisé : `^[\w+=,.@-]{1,128}$`
+ Doit comporter entre 1 et 128 caractères et contenir uniquement des lettres, des chiffres et les caractères suivants : `+ = , . @ - _`
+ IncludePackages
Type : Chaîne
Par défaut : all
Description : (Facultatif) mettez à jour uniquement ces packages nommés. Avec la valeur par défaut ("all"), toutes les mises à jour disponibles sont appliquées.
Modèle autorisé : `^(all|[a-zA-Z0-9\s,._+:=<>()\[\]/*-]+)$`
+ Il doit s'agir de « tous » OU d'une liste d'éléments séparés par des virgules composée de lettres, de chiffres, d'espaces et des caractères suivants : `, . _ + : = < > ( ) [ ] / * -`
+ InstanceType
Type : Chaîne
Par défaut : t2.micro
Description : (Facultatif) type d'instance à lancer en tant qu'hôte d'espace de travail. Les types d'instances varient selon la région.
Modèle autorisé : `^[a-z0-9]+(-[a-z0-9]+)*\.[a-z0-9]+$`
+ Doit être au format prefix.suffix où les deux parties contiennent des lettres minuscules et des chiffres, et le préfixe peut inclure des tirets
+ MetadataOptions
Type : StringMap
Par défaut : \$1» HttpEndpoint « : « enabled », "HttpTokens« : « optional"\$1
Description : (Facultatif) Les options de métadonnées pour l'instance. Pour de plus amples informations, veuillez consulter [InstanceMetadataOptionsRequest](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_InstanceMetadataOptionsRequest.html).
Modèle autorisé : `^\{[^<>\$;|&\\]*\}$`
+ Doit être enroulé entre accolades \$1\$1 et ne peut pas contenir les caractères suivants : `< > $ ; | & \`
+ PostUpdateScript
Type : Chaîne
Par défaut: Aucun
Description : (Facultatif) URL d'un script à exécuter après l'application des mises à jour de package. La valeur par défaut ("none") implique la non-exécution d'un script.
Modèle autorisé : `^(none|https?://[\w\-._~:/?#\[\]@!$&'()*+,;=%]+)$`
+ Doit être « none » OU une HTTP/HTTPS URL valide
+ PreUpdateScript
Type : Chaîne
Par défaut: Aucun
Description : (Facultatif) URL d'un script à exécuter avant l'application des mises à jour. La valeur par défaut ("none") implique la non-exécution d'un script.
Modèle autorisé : `^(none|https?://[\w\-._~:/?#\[\]@!$&'()*+,;=%]+)$`
+ Doit être « none » OU une HTTP/HTTPS URL valide
+ SecurityGroupIds
Type : Chaîne
Description : (Obligatoire) Liste séparée par des virgules IDs des groupes de sécurité auxquels vous souhaitez appliquer. AMI
Modèle autorisé : `^sg-[a-z0-9]{8,17}$`
+ Doit commencer par « sg- » suivi de 8 à 17 lettres minuscules ou chiffres
+ SourceAmiId
Type : Chaîne
Description : (Obligatoire) ID de l'Amazon Machine Image source.
Modèle autorisé : `^ami-[a-z0-9]{8,17}$`
+ Doit commencer par « ami- » suivi de 8 à 17 lettres minuscules ou chiffres
+ SubnetId
Type : Chaîne
Description : (Facultatif) L'ID du sous-réseau dans lequel vous souhaitez lancer l'instance. Si vous avez supprimé votre VPC par défaut, ce paramètre est obligatoire.
Modèle autorisé : `^$|^subnet-[a-z0-9]{8,17}$`
+ Doit être vide OU commencer par « subnet- » suivi de 8 à 17 lettres minuscules ou chiffres
+ TargetAmiName
Type : Chaîne
Par défaut : UpdateLinuxAmi \$1from\$1 \$1\$1SourceAmiId\$1\$1 \$1on\$1 \$1\$1global:Date\$1time\$1\$1
Description : (Facultatif) nom de l'AMI qui sera créée. La valeur par défaut est une chaîne générée par le système qui inclut l'ID de l'AMI source, et les date et heure de création.
Modèle autorisé : `^[a-zA-Z0-9()\[\]\{\} ./'@_:-]{3,128}$`
+ Doit comporter entre 3 et 128 caractères et contenir uniquement des lettres, des chiffres, des espaces, ainsi que les caractères suivants : `( ) [ ] { } . / ' @ _ : -`
# `AWS-UpdateWindowsAmi`
**Description**
Mettez à jour un Microsoft Windows Amazon Machine Image (AMI). Par défaut, ce runbook installe toutes les mises à jour Windows, les logiciels Amazon et les pilotes Amazon. Ensuite, il exécute Sysprep pour créer une AMI. Compatible avec Windows Server 2008 R2 jusqu'à Windows Server 2022.
**Important**
Ce runbook ne prend pas en charge Windows Server 2025 et les versions ultérieures, car les pilotes AWS Paravirtual ne sont pas compatibles avec ces versions. Pour plus d'informations, consultez la section [Pilotes paravirtuels pour les instances Windows](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/xen-drivers-overview.html).
**Important**
Si vos instances se connectent à AWS Systems Manager l'aide de points de terminaison VPC, ce runbook échouera s'il n'est pas utilisé dans la région us-east-1. TLS 1.2 doit être activé sur les instances pour utiliser ce runbook.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-UpdateWindowsAmi)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Catégories
Type : Chaîne
Description : (Facultatif) spécifiez une ou plusieurs catégories de mise à jour. Vous pouvez filtrer les catégories en utilisant des valeurs séparées par une virgule. Options : Application, connecteurs, CriticalUpdates, DefinitionUpdates, DeveloperKits, pilotes,FeaturePacks, conseils, Microsoft,, SecurityUpdates ServicePacks, outilsUpdateRollups, mises à jour. Les formats valides incluent une seule entrée, par exemple :CriticalUpdates. Vous pouvez également spécifier une liste séparée par des virgules :CriticalUpdates,SecurityUpdates. REMARQUE : n'ajoutez aucun espace autour des virgules.
+ ExcludeKbs
Type : Chaîne
Description : (Facultatif) Spécifiez un ou plusieurs articles de la base de connaissances Microsoft (KB) IDs à exclure. Vous pouvez en exclure plusieurs à IDs l'aide de valeurs séparées par des virgules. Formats valides : KB9876543 ou 9876543.
+ IamInstanceProfileName
Type : Chaîne
Par défaut : ManagedInstanceProfile
Description : (Obligatoire) Le nom du rôle qui permet à Systems Manager de gérer l'instance.
+ IncludeKbs
Type : Chaîne
Description : (Facultatif) Spécifiez un ou plusieurs articles de la base de connaissances Microsoft (KB) IDs à inclure. Vous pouvez en installer plusieurs IDs en utilisant des valeurs séparées par des virgules. Formats valides : KB9876543 ou 9876543.
+ InstanceType
Type : Chaîne
Par défaut : t2.medium
Description : (Facultatif) type d'instance à lancer en tant qu'hôte d'espace de travail. Les types d'instances varient selon la région. La valeur par défaut est t2.medium.
+ MetadataOptions
Type : StringMap
Par défaut : \$1» HttpEndpoint « : « enabled », "HttpTokens« : « optional"\$1
Description : (Facultatif) Les options de métadonnées pour l'instance. Pour de plus amples informations, veuillez consulter [InstanceMetadataOptionsRequest](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_InstanceMetadataOptionsRequest.html).
+ PostUpdateScript
Type : Chaîne
Description : (Facultatif) script fourni sous la forme d'une chaîne. Il est exécuté après l'installation des mises à jour du système d'exploitation.
+ PreUpdateScript
Type : Chaîne
Description : (Facultatif) script fourni sous la forme d'une chaîne. Il est exécuté avant l'installation des mises à jour du système d'exploitation.
+ PublishedDateAfter
Type : Chaîne
Description : (Facultatif) spécifiez la date après laquelle les mises à jour doivent être publiées. Par exemple, si 01/01/2017 est spécifié, toutes les mises à jour qui ont été trouvées pendant la recherche des mises à jour Windows qui ont été publiées après le 01/01/2017 sont renvoyées.
+ PublishedDateBefore
Type : Chaîne
Description : (Facultatif) spécifiez la date avant laquelle les mises à jour doivent être publiées. Par exemple, si 01/01/2017 est spécifié, toutes les mises à jour qui ont été trouvées pendant la recherche des mises à jour Windows qui ont été publiées avant le 01/01/2017 sont renvoyées.
+ PublishedDaysOld
Type : Chaîne
Description : (Facultatif) spécifiez le nombre de jours maximum qui se sont écoulés depuis la date de publication des mises à jour. Par exemple, si 10 est spécifié, toutes les mises à jour qui ont été trouvées pendant la recherche des mises à jour Windows il y a 10 jours ou plus sont renvoyées.
+ SecurityGroupIds
Type : Chaîne
Description : (Obligatoire) Liste séparée par des virgules IDs des groupes de sécurité auxquels vous souhaitez appliquer. AMI
+ SeverityLevels
Type : Chaîne
Description : (Facultatif) spécifiez un ou plusieurs niveaux de sécurité MSRC associés à une mise à jour. Vous pouvez filtrer les niveaux de sécurité en utilisant des valeurs séparées par une virgule. Par défaut, les correctifs pour tous les niveaux de sécurité sont sélectionnés. Si cette valeur est fournie, la liste de mise à jour est filtrée en conséquence. Options : Critique, Important, Faible, Modéré ou Non précisé. Parmi les formats valides, on compte une seule entrée comme : Critique. Ou, vous pouvez spécifier une liste avec des éléments séparés par des virgules : Critique, Important, Faible.
+ SourceAmiId
Type : Chaîne
Description : (Obligatoire) L'AMIID de la source.
+ SubnetId
Type : Chaîne
Description : (Facultatif) L'ID du sous-réseau dans lequel vous souhaitez lancer l'instance. Si vous avez supprimé votre VPC par défaut, ce paramètre est obligatoire.
+ TargetAmiName
Type : Chaîne
Par défaut : UpdateWindowsAmi \$1from\$1 \$1\$1SourceAmiId\$1\$1 \$1on\$1 \$1\$1global:Date\$1time\$1\$1
Description : (Facultatif) nom de l'AMI qui sera créée. La valeur par défaut est une chaîne générée par le système qui inclut l'ID de l'AMI source, et les date et heure de création.
# `AWSConfigRemediation-EnableAutoScalingGroupELBHealthCheck`
**Description**
Le `AWSConfigRemediation-EnableAutoScalingGroupELBHealthCheck` runbook permet de vérifier l'état du groupe Amazon EC2 Auto Scaling (Auto Scaling) que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableAutoScalingGroupELBHealthCheck)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ AutoScalingGroupARN
Type : String
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du groupe de mise à l'échelle automatique sur lequel vous souhaitez activer les contrôles de santé.
+ HealthCheckGracePeriod
Type : entier
Valeur par défaut : 300
Description : (Facultatif) Durée, en secondes, pendant laquelle Auto Scaling attend avant de vérifier l'état de santé d'une instance Amazon Elastic Compute Cloud (Amazon EC2) mise en service.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DescribeAutoScalingGroups`
+ `ec2:UpdateAutoScalingGroup`
**Étapes de document**
+ `aws:executeScript`- Active les contrôles de santé sur le groupe Auto Scaling que vous spécifiez dans le `AutoScalingGroupARN` paramètre.
# `AWSConfigRemediation-EnforceEC2InstanceIMDSv2`
**Description**
Le `AWSConfigRemediation-EnforceEC2InstanceIMDSv2` runbook nécessite l'instance Amazon Elastic Compute Cloud (Amazon EC2) que vous spécifiez pour utiliser le service de métadonnées d'instance version 2 (IMDSv2).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnforceEC2InstanceIMDSv2)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ InstanceId
Type : String
Description : (Obligatoire) L'ID de l' EC2 instance Amazon que vous souhaitez utiliser IMDSv2.
+ AutomationAssumeRole
Type : String
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ HttpPutResponseHopLimit
Type : entier
Description : (Facultatif) Limite de réponse Hop entre le service IMDS et le demandeur. Défini sur 2 ou plus pour les EC2 instances hébergeant des conteneurs. Réglé sur 0 pour ne pas changer (valeur par défaut).
Schéma autorisé : `^([1-5]?\d|6[0-4])$`
Par défaut : 0
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DescribeInstances`
+ `ec2:ModifyInstanceMetadataOptions`
**Étapes de document**
+ `aws:executeScript`- Définit l'`HttpTokens`option `required` sur l' EC2 instance Amazon que vous spécifiez dans le `InstanceId` paramètre.
+ `aws:assertAwsResourceProperty`- Vérifie que IMDSv2 c'est obligatoire sur l' EC2 instance Amazon.
# `AWSEC2-CloneInstanceAndUpgradeSQLServer`
**Description**
Créez un AMI à partir d'une EC2 instance pour Windows Server exécutant SQL Server 2008 ou version ultérieure, puis mettez à niveau l'AMI vers une version ultérieure de SQL Server. Seules les versions anglaises de SQL Server sont prises en charge.
Les chemins de mise à niveau suivants sont pris en charge :
+ SQL Server 2008 vers SQL Server 2017, 2016 ou 2014
+ SQL Server 2008 R2 vers SQL Server 2017, 2016 ou 2014
+ SQL Server 2012 vers SQL Server 2019, 2017, 2016 ou 2014
+ SQL Server 2014 vers SQL Server 2019, 2017 ou 2016
+ SQL Server 2016 vers SQL Server 2019 ou 2017
Si vous utilisez une version antérieure de Windows Server incompatible avec SQL Server 2019, le document d'automatisation doit mettre à niveau votre version de Windows Server vers 2016.
La mise à niveau est un processus en plusieurs étapes qui peut prendre 2 heures. L'automatisation crée l'AMI à partir de l'instance, puis lance une instance temporaire à partir de la nouvelle AMI dans le spécifié`SubnetID`. Les groupes de sécurité associés à votre instance d'origine sont appliqués à l'instance temporaire. L'automatisation effectue ensuite une mise à niveau `TargetSQLVersion` sur place vers l'instance temporaire. Après la mise à niveau, l'automatisation crée un nouveau AMI depuis l'instance temporaire, puis met fin à l'instance temporaire.
Vous pouvez tester le fonctionnement de l'application en lançant le nouveau AMI dans votre VPC. Une fois que vous avez terminé le test et avant de procéder à une autre mise à niveau, planifiez les temps d'arrêt de l'application avant de passer complètement à l'instance mise à niveau.
**Note**
Si vous souhaitez modifier le nom d'ordinateur de l' EC2 instance lancée depuis le nouveau AMI , voir [Renommer un ordinateur hébergeant une instance autonome de SQL Server](https://docs.microsoft.com/en-us/sql/database-engine/install-windows/rename-a-computer-that-hosts-a-stand-alone-instance-of-sql-server?view=sql-server-2017).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSEC2-CloneInstanceAndUpgradeSQLServer)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Windows
**Paramètres**
**Prérequis**
+ Version 1.2 du protocole TLS.
+ Seules les versions anglaises de SQL Server sont prises en charge.
+ L' EC2 instance doit utiliser une version de Windows Server c'est Windows Server 2008 R2 (ou version ultérieure) et SQL Server 2008 (ou version ultérieure).
+ Vérifier que SSM Agent est installé sur votre instance. Pour plus d'informations, voir [Installation et configuration de l'agent SSM sur les EC2 instances de Windows Server](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-win.html).
+ Configurez l'instance pour utiliser un rôle de profil d'instance Gestion des identités et des accès AWS (IAM). Pour de plus amples informations, veuillez consulter [Créer un profil d'instance IAM pour Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html).
+ Vérifiez que l’instance a 20 Go d’espace disque libre dans le disque de démarrage.
+ Pour les instances qui utilisent une version SQL Server avec apport de sa propre licence (BYOL), les prérequis supplémentaires suivants s’appliquent :
+ Fournissez un ID de snapshot EBS qui inclut le support d'installation cible de SQL Server. Pour cela :
1. Vérifiez que l' EC2 instance exécute Windows Server 2008 R2 ou version ultérieure.
1. Créez un volume EBS de 6 Go dans la même zone de disponibilité que celle où l'instance est en cours d'exécution. Attachez le volume à l’instance. Montez-la, par exemple, en tant que lecteur D.
1. Cliquez avec le bouton droit de la souris sur le fichier ISO et montez-le sur une instance telle que le lecteur E.
1. Copiez le contenu du fichier ISO depuis le lecteur E:\$1 vers le lecteur D:\$1.
1. Créez un instantané EBS du volume de 6 Go créé à l'étape 2.
**Limites**
+ La mise à niveau peut uniquement être effectuée sur un serveur SQL à l’aide de l’authentification Windows.
+ Vérifiez qu’il n’y a pas de correctifs et mises à jour de sécurité en attente sur les instances. Ouvrez le **Panneau de configuration**, puis choisissez **Rechercher les mises à jour**.
+ Les déploiements SQL Server HA et le mode de mise en miroir ne sont pas pris en charge.
**Paramètres**
+ IamInstanceProfile
Type : String
Description : (Obligatoire) Le profil d'instance IAM.
+ InstanceId
Type : String
Description : (Obligatoire) L'instance en cours d'exécution Windows Server 2008 R2 (ou version ultérieure) et SQL Server 2008 (ou version ultérieure).
+ KeepPreUpgradeImageBackUp
Type : String
Description : (Facultatif) Si ce paramètre est défini sur`true`, l'automatisation ne supprime pas l'AMI créée à partir de l'instance avant la mise à niveau. Si ce paramètre est défini sur`true`, vous devez supprimer l'AMI. Par défaut, l'AMI sera supprimée.
+ SubnetId
Type : String
Description : (Obligatoire) fournissez un sous-réseau pour le processus de mise à niveau. Vérifiez que le sous-réseau dispose d'une connectivité sortante vers les AWS services, Amazon S3 et Microsoft (pour télécharger les correctifs).
+ SQLServerSnapshotId
Type : String
Description : ID du snapshot (conditionnel) pour le support d'installation cible de SQL Server. Ce paramètre est obligatoire pour les instances qui utilisent une version BYOL de SQL Server. Ce paramètre est facultatif pour les instances incluses dans une licence SQL Server (instances lancées à l'aide d'une AWS Amazon Machine Image pour Windows Server fournie avec Microsoft SQL Server).
+ RebootInstanceBeforeTakingImage
Type : String
Description : (Facultatif) Si ce paramètre est défini sur`true`, l'automatisation redémarre l'instance avant de créer une AMI préalable à la mise à niveau. Par défaut, l'automatisation ne redémarre pas avant la mise à niveau.
+ Cible SQLVersion
Type : String
Description : (Facultatif) Sélectionnez la version cible de SQL Server.
Cibles possibles :
+ SQL Server 2019
+ SQL Server 2017
+ SQL Server 2016
+ SQL Server 2014
Cible par défaut : SQL Server 2016
**Sorties**
AMIId: ID de l'AMI créée à partir de l'instance mise à niveau vers une version ultérieure de SQL Server.
# `AWSEC2-CloneInstanceAndUpgradeWindows`
**Description**
Créez un Amazon Machine Image (AMI) à partir d'un Windows Server instance 2008 R2, 2012 R2, 2016 ou 2019, puis mettez à niveau le AMI to Windows Server 2016, 2019 ou 2022. Les chemins de mise à niveau pris en charge sont les suivants.
+ Windows Server 2008 R2 à Windows Server 2016.
+ Windows Server 2012 R2 à Windows Server 2016.
+ Windows Server 2012 R2 à Windows Server 2019.
+ Windows Server 2012 R2 à Windows Server 2022.
+ Windows Server 2016 à Windows Server 2019.
+ Windows Server 2016 à Windows Server 2022.
+ Windows Server 2019 à Windows Server 2022.
L'opération de mise à niveau est un processus en plusieurs étapes qui peut prendre 2 heures. Nous vous recommandons d'effectuer une mise à niveau du système d'exploitation sur les instances dotées d'au moins 2 V CPUs et de 4 Go de RAM. L'automatisation crée une AMI à partir de l'instance, puis lance une instance temporaire à partir de l'AMI nouvellement créée dans celle `SubnetId` que vous spécifiez. Les groupes de sécurité associés à votre instance d'origine sont appliqués à l'instance temporaire. L'automatisation effectue ensuite une mise à niveau `TargetWindowsVersion` sur place vers l'instance temporaire. Pour améliorer votre Windows Server Instance 2008 R2 pour Windows Server En 2016, 2019 ou 2022, une mise à niveau sur place est effectuée deux fois en raison d'une mise à niveau directe Windows Server 2008 R2 à Windows Server 2016, 2019 ou 2022 ne sont pas pris en charge. L'automatisation met également à jour ou installe les AWS pilotes requis par l'instance temporaire. Après la mise à niveau, l'automatisation crée une nouvelle AMI à partir de l'instance temporaire, puis met fin à l'instance temporaire.
Vous pouvez tester les fonctionnalités de l'application en lançant une instance de test depuis l'AMI mise à niveau dans votre Amazon Virtual Private Cloud (Amazon VPC). Une fois que vous avez terminé le test et avant de procéder à une autre mise à niveau, planifiez les temps d'arrêt de l'application avant de passer complètement à l'AMI mise à niveau.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSEC2-CloneInstanceAndUpgradeWindows)
**Types de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Windows Server Éditions Standard et Datacenter 2008 R2, 2012 R2, 2016 ou 2019
**Prérequis**
+ Version 1.2 du protocole TLS.
+ Vérifier que SSM Agent est installé sur votre instance. Pour plus d'informations, voir [Installation et configuration de l'agent SSM sur les EC2 instances de Windows Server](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-win.html).
+ Windows PowerShell 3.0 ou version ultérieure doit être installé sur votre instance.
+ Pour les instances qui sont jointes à un domaine Microsoft Active Directory, nous vous recommandons de spécifier un `SubnetId` qui n’a pas de connectivité à vos contrôleurs de domaine afin d’éviter les conflits de noms d’hôte.
+ Le sous-réseau de l'instance doit disposer d'une connectivité sortante à Internet, qui permet d'accéder Services AWS à Amazon S3 et de télécharger des correctifs depuis Microsoft. Cette exigence est satisfaite si le sous-réseau est un sous-réseau public et que l’instance possède une adresse IP publique, ou si le sous-réseau est un sous-réseau privé avec une route qui envoie le trafic Internet vers un périphérique NAT public.
+ Cette automatisation fonctionne uniquement avec Windows Server Instances 2008 R2, 2012 R2, 2016 et 2019.
+ Configurez le Windows Server instance avec un profil d'instance Gestion des identités et des accès AWS (IAM) fournissant les autorisations requises pour Systems Manager. Pour de plus amples informations, veuillez consulter [Créer un profil d'instance IAM pour Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html).
+ Vérifiez que l’instance a 20 Go d’espace disque libre dans le disque de démarrage.
+ Si l'instance n'utilise pas de licence Windows AWS fournie, spécifiez un ID de snapshot Amazon EBS qui inclut Windows Server Support d'installation 2012 R2. Pour cela :
+ Vérifiez que l' EC2 instance est en cours d'exécution Windows Server 2012 ou plus tard.
+ Créez un volume EBS de 6 Go dans la même zone de disponibilité que celle où l'instance est en cours d'exécution. Attachez le volume à l’instance. Montez-la, par exemple, en tant que lecteur D.
+ Cliquez avec le bouton droit de la souris sur le fichier ISO et montez-le sur une instance telle que le lecteur E.
+ Copiez le contenu du fichier ISO depuis le lecteur E:\$1 vers le lecteur D:\$1.
+ Créez un instantané EBS de 6 Go comme à l'étape 2 ci-dessus.
**Limites**
Cette procédure Automation ne prend pas en charge la mise à niveau des contrôleurs de domaine Windows, les clusters ni les système d’exploitation de bureau Windows. Cette automatisation ne prend pas non plus en charge EC2 les instances de Windows Server avec les rôles suivants installés.
+ Hôte de session des services Bureau à distance (RDSH)
+ Broker de connexion des services Bureau à distance (RDCB)
+ Hôte de virtualisation des services Bureau à distance (RDVH)
+ Accès web des services Bureau à distance (RDWA)
**Paramètres**
+ AlternativeKeyPairName
Type : String
Description : (Facultatif) Nom d'une paire de clés alternative à utiliser pendant le processus de mise à niveau. Cela est utile dans les situations où la paire de clés attribuée à l'instance d'origine n'est pas disponible. Si aucune paire de clés n'a été attribuée à l'instance d'origine, vous devez spécifier une valeur pour ce paramètre.
+ BYOLWindowsMediaSnapshotId
Type : String
Description : (Facultatif) L'ID du snapshot Amazon EBS à copier qui inclut le support d'installation de Windows Server 2012R2. Obligatoire uniquement si vous mettez à niveau une instance BYOL.
+ IamInstanceProfile
Type : String
Description : (Obligatoire) Nom du profil d'instance IAM qui permet à Systems Manager de gérer l'instance.
+ InstanceId
Type : String
Description : (Obligatoire) L' EC2 instance en cours d'exécution Windows Server 2008 R2, 2012 R2, 2016 ou 2019.
+ KeepPreUpgradeImageBackUp
Type : String
Description : (Facultatif) Si ce paramètre est défini sur True, l'automatisation ne supprime pas l'AMI créée à partir de l' EC2 instance avant la mise à niveau. S'il est défini sur True, vous devez supprimer l'AMI. Par défaut, l'AMI sera supprimée.
+ SubnetId
Type : String
Description : (Obligatoire) Il s'agit du sous-réseau pour le processus de mise à niveau et de l'emplacement de votre EC2 instance source. Vérifiez que le sous-réseau dispose d'une connectivité sortante vers les AWS services, Amazon S3 et Microsoft (pour télécharger les correctifs).
+ TargetWindowsVersion
Type : String
Description : (Obligatoire) Sélectionnez la version cible de Windows.
Par défaut : 2022
+ RebootInstanceBeforeTakingImage
Type : String
Description : (Facultatif) Si ce paramètre est défini sur True, l'automatisation redémarre l'instance avant la création d'une l'AMI préalable à la mise à niveau. Par défaut, l'automatisation ne redémarre pas avant la mise à niveau.
# `AWSEC2-PatchLoadBalancerInstance`
**Description**
Mettez à niveau et corrigez une version mineure d'une EC2 instance Amazon (Windows ou Linux) connectée à n'importe quel équilibreur de charge (classique, ALB ou NLB). Le délai de vidange de la connexion par défaut est appliqué avant que l'instance ne soit patchée. Vous pouvez annuler le temps d'attente en saisissant votre temps de vidange personnalisé en minutes (`1`-`59`) pour le **ConnectionDrainTime**paramètre.
Le flux de travail d'automatisation est le suivant :
1. L'équilibreur de charge ou le groupe cible auquel l'instance est attachée est déterminé, et le bon fonctionnement de l'instance est vérifié.
1. L'instance est supprimée de l'équilibreur de charge ou du groupe cible.
1. L'automatisation attend la période spécifiée pour le temps de vidange de la connexion.
1. L'RunPatchBaselineautomatisation [AWS](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-about-aws-runpatchbaseline.html) est appelée pour patcher l'instance.
1. L'instance est rattachée à l'équilibreur de charge ou au groupe cible.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSEC2-PatchLoadBalancerInstance)
**Types de document**
Automatisation
**Propriétaire**
Amazon
**Prérequis**
+ Vérifier que SSM Agent est installé sur votre instance. Pour plus d'informations, consultez la section [Utilisation de l'agent SSM sur les EC2 instances pour Windows Server](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-win.html).
**Paramètres**
+ **InstanceId**
Type : String
Description : ID (obligatoire) de l'instance à corriger associée à un équilibreur de charge (classique, ALB ou NLB).
+ **ConnectionDrainTime**
Type : String
Description : (Facultatif) Durée de vidange de la connexion de l'équilibreur de charge, en minutes (`1`-`59`).
+ **S3BucketLog**
Type : String
Description : (Facultatif) Le nom du compartiment Amazon S3 à utiliser pour stocker les réponses de sortie de commande. Vous pouvez spécifier un bucket dont vous êtes propriétaire ou un bucket qui est partagé avec vous. Si vous fournissez ce paramètre, vous devez également indiquer ** runCommandAssumeRole**.
+ **runCommandAssumeRôle**
Type : String
Description : (Facultatif) L'ARN du rôle IAM à utiliser pour exécuter la commande sur l'instance. Le rôle doit avoir une relation de confiance avec le principal du `ssm.amazonaws.com` service, il doit être associé à la SSMManaged InstanceCore politique **Amazon** et il doit disposer d'autorisations d'écriture pour le compartiment Amazon S3 spécifié pour **S3 BucketLog**.
# `AWSEC2-SQLServerDBRestore`
**Description**
Le `AWSEC2-SQLServerDBRestore` runbook restaure les sauvegardes de base de données Microsoft SQL Server stockées dans Amazon S3 vers SQL Server 2017 exécutées sur une instance Linux Amazon Elastic Compute Cloud (EC2). Vous pouvez fournir votre propre instance EC2 exécutant SQL Server 2017 Linux. Si aucune instance EC2 n'est fournie, l'automatisation lance et configure une nouvelle instance EC2 Ubuntu 16.04 avec SQL Server 2017. Automation prend en charge la restauration des sauvegardes de journaux complètes, différentielles et transactionnelles. Cette instance d'Automation accepte plusieurs fichiers de sauvegarde de base de données et restaure automatiquement la dernière sauvegarde de chaque base de données valides dans les fichiers fournis.
Pour automatiser à la fois la sauvegarde et la restauration d'une base de données SQL Server locale sur une instance EC2 exécutant SQL Server 2017 Linux, vous pouvez utiliser le script AWS PowerShell -signed. [https://awsec2-server-upgrade-prod.s3.us-west-1.amazonaws.com/MigrateSQLServerToEC2Linux.ps1](https://awsec2-server-upgrade-prod.s3.us-west-1.amazonaws.com/MigrateSQLServerToEC2Linux.ps1)
**Important**
Ce runbook réinitialise le mot de passe utilisateur administrateur (SA) du serveur SQL Server à chaque exécution de l'automatisation. Une fois l'automatisation terminée, vous devez définir à nouveau votre propre mot de passe utilisateur SA avant de vous connecter à l'instance SQL Server.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSEC2-SQLServerDBRestore)
**Types de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux
## Conditions préalables
Pour exécuter cette automatisation, vous devez remplir les conditions préalables suivantes :
+ L'utilisateur ou le rôle IAM qui exécute cette automatisation doit disposer d'une politique intégrée associée aux autorisations décrites dans. [Autorisations IAM requises](#sql-server-db-restore-policy)
+ Si vous fournissez votre propre instance EC2 :
+ L'instance EC2 que vous fournissez doit être une instance Linux exécutant Microsoft SQL Server 2017.
+ L'instance EC2 que vous fournissez doit être configurée avec un profil d'instance Gestion des identités et des accès AWS (IAM) auquel est attachée la politique `AmazonSSMManagedInstanceCore` gérée. Pour de plus amples informations, veuillez consulter [Créer un profil d'instance IAM pour Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html).
+ L'agent SSM doit être installé sur votre instance EC2. Pour plus d'informations, consultez [Installation et configuration de l'agent SSM sur les instances EC2 pour Linux](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html).
+ L'instance EC2 doit disposer de suffisamment d'espace disque libre pour télécharger et restaurer les sauvegardes de SQL Server.
## Limitations
Cette instance d'Automation ne prend pas en charge la restauration vers SQL Server s'exécutant sur des instances EC2 pour Windows Server. Cette instance d'Automation ne restaure les sauvegardes de base de données qui sont compatibles avec SQL Server Linux 2017. Pour de plus amples informations, veuillez consulter [Fonctionnalités et éditions de SQL Server 2017 prises en charge sur Linux](https://docs.microsoft.com/en-us/sql/linux/sql-server-linux-editions-and-components-2017?view=sql-server-2017).
## Parameters
Cette automatisation possède les paramètres suivants :
+ **DatabaseNames**
Type : Chaîne
Description : (Facultatif) liste séparée par des virgules des noms des bases de données à restaurer.
+ **DataDirectorySize**
Type : Chaîne
Description : (Facultatif) taille de volume (Gio) souhaitée du répertoire de données SQL Server pour la nouvelle instance EC2.
Valeur par défaut : 100
+ **KeyPair**
Type : Chaîne
Description : (Facultatif) paire de clés à utiliser lors de la création de la nouvelle instance EC2.
+ **IamInstanceProfileName**
Type : Chaîne
Description : (Facultatif) Le profil d'instance IAM à associer à la nouvelle instance EC2. La politique `AmazonSSMManagedInstanceCore` gérée doit être attachée au profil d'instance IAM.
+ **InstanceId**
Type : Chaîne
Description : (Facultatif) instance exécutant SQL Server 2017 sur Linux. Si InstanceId ce n'est pas le cas, l'automatisation lance une nouvelle instance EC2 à l'aide de l' SQLServerédition InstanceType and fournie.
+ **InstanceType**
Type : Chaîne
Description : (Facultatif) type d'instance de l'instance EC2 à lancer.
+ **est S3 PresignedUrl**
Type : Chaîne
Description : (Facultatif) Si S3Input est une URL S3 pré-signée, indiquez-le. `yes`
Valeur par défaut : non
Valeurs valides : oui \$1 non
+ **LogDirectorySize**
Type : Chaîne
Description : (Facultatif) taille de volume (Gio) souhaitée du répertoire de journaux SQL Server pour la nouvelle instance EC2.
Valeur par défaut : 100
+ **Entrée S3**
Type : Chaîne
Description : (Obligatoire) Nom du compartiment S3, liste séparée par des virgules des clés d'objet S3 ou liste séparée par des virgules de S3 pré-signés URLs contenant les fichiers de sauvegarde SQL à restaurer.
+ **SQLServerEdition**
Type : Chaîne
Description : (Facultatif) édition de SQL Server 2017 à installer sur l'instance EC2 qui vient d'être créée.
Valeurs valides : Standard \$1 Enterprise \$1 Web \$1 Express
+ **SubnetId**
Type : Chaîne
Description : (Facultatif) sous-réseau dans lequel lancer la nouvelle instance EC2. Le sous-réseau doit disposer d'une connectivité sortante aux AWS services. Si aucune valeur pour n' SubnetId est fournie, l'automatisation utilise le sous-réseau par défaut.
+ **TempDbDirectorySize**
Type : Chaîne
Description : (Facultatif) taille de volume (Gio) souhaitée du répertoire TempDB SQL Server pour la nouvelle instance EC2.
Valeur par défaut : 100
## Autorisations IAM requises
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags",
"ec2:DescribeImages",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstances",
"ec2:RebootInstances",
"ec2:RunInstances",
"ssm:DescribeInstanceInformation",
"ssm:GetAutomationExecution",
"ssm:ListCommandInvocations",
"ssm:ListCommands",
"ssm:SendCommand",
"ssm:StartAutomationExecution"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/ROLENAME"
}
]
}
```
------
## Étapes de document
Pour utiliser cette automatisation, suivez les étapes qui s'appliquent à votre type d'instance :
**Pour les nouvelles instances EC2 :**
1. `aws:executeAwsApi`- Récupérez l'ID AMI pour SQL Server 2017 sur Ubuntu 16.04.
1. `aws:runInstances`- Lancez une nouvelle instance EC2 pour Linux.
1. `aws:waitForAwsResourceProperty`- Attendez que l'instance EC2 nouvellement créée soit prête.
1. `aws:executeAwsApi`- Redémarrez l'instance si elle n'est pas prête.
1. `aws:assertAwsResourceProperty`- Vérifiez que l'agent SSM est installé.
1. `aws:runCommand`- Exécutez le script de restauration SQL Server dans PowerShell.
**Pour les instances EC2 existantes :**
1. `aws:waitForAwsResourceProperty`- Vérifiez que l'instance EC2 est prête.
1. `aws:executeAwsApi`- Redémarrez l'instance si elle n'est pas prête.
1. `aws:assertAwsResourceProperty`- Vérifiez que l'agent SSM est installé.
1. `aws:runCommand`- Exécutez le script de restauration SQL Server dans PowerShell.
**Sorties**
GetinStance. InstanceId
restoreToNewInstance. Sortie
restoreToExistingInstance. Sortie
# `AWSSupport-ActivateWindowsWithAmazonLicense`
**Description**
Le `AWSSupport-ActivateWindowsWithAmazonLicense` runbook active une instance Amazon Elastic Compute Cloud (Amazon EC2) pour Windows Server avec une licence fournie par Amazon. L'automatisation vérifie et configure les paramètres requis du système d'exploitation du service de gestion des clés et tente l'activation. Cela inclut les itinéraires du système d'exploitation vers les serveurs de gestion des clés d'Amazon et les paramètres du système d'exploitation du service de gestion des clés. La définition du `AllowOffline` paramètre sur `true` permet à l'automatisation de cibler avec succès les instances qui ne sont pas gérées par AWS Systems Manager, mais nécessitent l'arrêt et le démarrage de l'instance.
**Note**
Ce runbook ne peut pas être utilisé sur le modèle Bring Your Own License (BYOL) Windows Server instances. Pour plus d'informations sur l'utilisation de votre propre licence, consultez [Licences Microsoft sur AWS](https://aws.amazon.com/windows/resources/licensing/).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ActivateWindowsWithAmazonLicense)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Windows
**Paramètres**
+ AllowOffline
Type : String
Valeurs valides : true \$1 false
Valeur par défaut : false
Description : (Facultatif) Réglez-le sur `true` si vous autorisez une correction d'activation Windows hors ligne en cas d'échec du dépannage en ligne ou si l'instance fournie n'est pas une instance gérée.
**Important**
La méthode hors ligne nécessite que l' EC2 instance fournie soit arrêtée puis démarrée. Les données stockées sur les volumes de stockage d'instance seront perdues. L'adresse IP publique change si vous n'utilisez pas une adresse IP Elastic.
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ ForceActivation
Type : String
Valeurs valides : true \$1 false
Valeur par défaut : false
Description : (Facultatif) Réglez-le sur `true` si vous souhaitez continuer même si Windows est déjà activé.
+ InstanceId
Type : String
Description : ID (obligatoire) de votre EC2 instance gérée pour Windows Server.
+ SubnetId
Type : String
Par défaut : CreateNew VPC
Description : (Facultatif) Hors ligne uniquement : ID de sous-réseau de l'instance EC2 Rescue utilisée pour effectuer le dépannage hors ligne. `SelectedInstanceSubnet`Utilisez-le pour utiliser le même sous-réseau que votre instance ou `CreateNewVPC` pour créer un nouveau VPC. IMPORTANT : Le sous-réseau doit se trouver dans la même zone de disponibilité que les points de InstanceId terminaison SSM et il doit autoriser l'accès à ceux-ci.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
Nous recommandons que l' EC2 instance recevant la commande ait un rôle IAM associé à la politique gérée par **SSMManagedInstanceCoreAmazon**. Vous devez avoir au moins **ssm : StartAutomationExecution** et **ssm : SendCommand** pour exécuter l'automatisation et envoyer la commande à l'instance, plus **ssm : GetAutomationExecution** pour pouvoir lire le résultat de l'automatisation. Pour la correction hors ligne, consultez les autorisations requises par`AWSSupport-StartEC2RescueWorkflow`.
**Étapes de document**
1. `aws:assertAwsResourceProperty`- Vérifiez que la plate-forme de l'instance fournie est Windows.
1. `aws:assertAwsResourceProperty`- Vérifiez que l'instance fournie est une instance gérée :
1. (Correctif d'activation en ligne) Si l'instance d'entrée est une instance gérée, exécutez `aws:runCommand` le PowerShell script afin de tenter de corriger l'activation de Windows.
1. (Correctif d'activation hors connexion) Si l'instance d'entrée n'est pas une instance gérée :
1. `aws:assertAwsResourceProperty`- Vérifie que le `AllowOffline` drapeau est réglé sur. `true` Dans ce cas, le correctif hors ligne démarre ; sinon, l'automatisation prend fin.
1. `aws:executeAutomation`- Appelez `AWSSupport-StartEC2RescueWorkflow` avec le script de correction hors ligne d'activation de Windows. Le script utilise EC2 Config ou EC2 Launch, selon la version du système d'exploitation.
1. `aws:executeAwsApi`- Lisez le résultat de`AWSSupport-StartEC2RescueWorkflow`.
**Sorties**
activateWindows.Output
getActivateWindowsOfflineResult.Sortie
# `AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2`
**Description**
Le `AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2` runbook analyse la connectivité entre une instance Amazon Elastic Compute Cloud (Amazon EC2) ou une interface Elastic Network Interface et un point de terminaison. Service AWS IPv6 n'est pas pris en charge. Le runbook utilise la valeur que vous spécifiez pour le `ServiceEndpoint` paramètre afin d'analyser la connectivité à un point de terminaison. Si aucun point de AWS PrivateLink terminaison n'est trouvé dans votre VPC, le runbook utilise une adresse IP publique pour le service actuel. Région AWS Cette automatisation utilise Reachability Analyzer d'Amazon Virtual Private Cloud. Pour plus d'informations, voir [Qu'est-ce que Reachability Analyzer ?](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) , dans *Reachability Analyzer*.
Cette automatisation vérifie les points suivants :
+ Vérifie si votre cloud privé virtuel (VPC) est configuré pour utiliser le serveur DNS fourni par Amazon.
+ Vérifie si un AWS PrivateLink point de terminaison existe dans le VPC pour Service AWS celui que vous spécifiez. Si un point de terminaison est détecté, l'automatisation vérifie que l'`privateDns`attribut est activé.
+ Vérifie si le AWS PrivateLink point de terminaison utilise la politique de point de terminaison par défaut.
**Considérations**
+ Vous êtes facturé par analyse effectuée entre une source et une destination. Pour de plus amples informations, veuillez consulter la [Tarification Amazon VPC](https://aws.amazon.com/vpc/pricing/).
+ Au cours de l'automatisation, un chemin d'analyse du réseau et une analyse des informations du réseau sont créés. Si l'automatisation aboutit, le runbook supprime ces ressources. Si l'étape de nettoyage échoue, le chemin Network Insights n'est pas supprimé par le runbook et vous devrez le supprimer manuellement. Si vous ne supprimez pas le chemin d'accès aux informations sur le réseau manuellement, il continue à être pris en compte dans le quota de votre Compte AWS. *Pour plus d'informations sur les quotas pour Reachability Analyzer, voir Quotas [pour Reachability Analyzer dans Reachability Analyzer](https://docs.aws.amazon.com//vpc/latest/reachability/reachability-analyzer-limits.html).*
+ Les configurations au niveau du système d'exploitation, telles que l'utilisation d'un proxy, d'un résolveur DNS local ou d'un fichier d'hôtes, peuvent affecter la connectivité même si l'Analyzer de Reachability revient. `PASS`
+ Passez en revue l'évaluation de tous les contrôles effectués par l'Analyzer de Reachability. Si l'un des contrôles est renvoyé avec un statut de`FAIL`, cela peut affecter la connectivité même si le contrôle d'accessibilité global renvoie un statut de. `PASS`
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Source
Type : Chaîne
Description : (Obligatoire) L'ID de l'instance Amazon EC2 ou de l'interface réseau à partir de laquelle vous souhaitez analyser l'accessibilité.
+ ServiceEndpoint
Type : Chaîne
Description : (Obligatoire) Le nom d'hôte du point de terminaison du service auquel vous souhaitez analyser l'accessibilité.
+ RetainVpcReachabilityAnalysis
Type : Chaîne
Valeur par défaut : false
Description : (Facultatif) Détermine si le chemin d'aperçu du réseau et l'analyse associée créés sont conservés. Par défaut, les ressources utilisées pour analyser l'accessibilité sont supprimées après une analyse réussie. Si vous choisissez de conserver l'analyse, le runbook ne la supprime pas et vous pouvez la visualiser dans la console Amazon VPC. Un lien vers la console est disponible dans la sortie d'automatisation.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:CreateNetworkInsightsPath`
+ `ec2:DeleteNetworkInsightsAnalysis`
+ `ec2:DeleteNetworkInsightsPath`
+ `ec2:DescribeAvailabilityZones`
+ `ec2:DescribeCustomerGateways`
+ `ec2:DescribeDhcpOptions`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInternetGateways`
+ `ec2:DescribeManagedPrefixLists`
+ `ec2:DescribeNatGateways`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeNetworkInsightsAnalyses`
+ `ec2:DescribeNetworkInsightsPaths`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribePrefixLists`
+ `ec2:DescribeRegions`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeTransitGatewayAttachments`
+ `ec2:DescribeTransitGatewayPeeringAttachments`
+ `ec2:DescribeTransitGatewayConnects`
+ `ec2:DescribeTransitGatewayRouteTables`
+ `ec2:DescribeTransitGateways`
+ `ec2:DescribeTransitGatewayVpcAttachments`
+ `ec2:DescribeVpcAttribute`
+ `ec2:DescribeVpcEndpoints`
+ `ec2:DescribeVpcEndpointServiceConfigurations`
+ `ec2:DescribeVpcPeeringConnections`
+ `ec2:DescribeVpcs`
+ `ec2:DescribeVpnConnections`
+ `ec2:DescribeVpnGateways`
+ `ec2:GetManagedPrefixListEntries`
+ `ec2:GetTransitGatewayRouteTablePropagations`
+ `ec2:SearchTransitGatewayRoutes`
+ `ec2:StartNetworkInsightsAnalysis`
+ `elasticloadbalancing:DescribeListeners`
+ `elasticloadbalancing:DescribeLoadBalancerAttributes`
+ `elasticloadbalancing:DescribeLoadBalancers`
+ `elasticloadbalancing:DescribeRules`
+ `elasticloadbalancing:DescribeTags`
+ `elasticloadbalancing:DescribeTargetGroups`
+ `elasticloadbalancing:DescribeTargetHealth`
+ `tiros:CreateQuery`
+ `tiros:GetQueryAnswer`
+ `tiros:GetQueryExplanation`
**Étapes de document**
1. `aws:executeScript`: valide le point de terminaison du service en essayant de résoudre le nom d'hôte.
1. `aws:executeScript`: rassemble des informations sur le VPC et le sous-réseau.
1. `aws:executeScript`: Évalue la configuration DNS du VPC.
1. `aws:executeScript`: Évalue les vérifications des points de terminaison du VPC.
1. `aws:executeScript`: localise une passerelle Internet pour se connecter au point de terminaison du service public.
1. `aws:executeScript`: Détermine la destination à utiliser pour l'analyse d'accessibilité.
1. `aws:executeScript`: analyse l'accessibilité de la source au point de terminaison à l'aide de Reachability Analyzer et nettoie les ressources en cas de réussite de l'analyse.
1. `aws:executeScript`: Génère un rapport d'évaluation de l'accessibilité.
1. `aws:executeScript`: Génère la sortie au format JSON.
**Sorties**
+ `generateReport.EvalReport`- Les résultats des contrôles effectués par l'automatisation au format texte.
+ `generateJsonOutput.Output`- Une version minimale des résultats au format JSON.
# `AWSPremiumSupport-ChangeInstanceTypeIntelToAMD`
**Description**
Le `AWSPremiumSupport-ChangeInstanceTypeIntelToAMD` runbook automatise les migrations des instances Amazon Elastic Compute Cloud (Amazon EC2) optimisées par Intel vers des types d'instances équivalents optimisés par AMD. Ce runbook prend en charge les instances à usage général (M), les instances à usage général burstable (T), les instances optimisées pour le calcul (C) et les instances optimisées pour la mémoire (R) créées sur le système Nitro. Ce runbook peut être utilisé sur des instances qui ne sont pas gérées par Systems Manager.
Pour réduire le risque potentiel de perte de données et de temps d'arrêt, le runbook vérifie le comportement d'arrêt de l'instance, si l'instance appartient à un groupe Amazon EC2 Auto Scaling, son état de santé et la disponibilité du type d'instance équivalent alimenté par AMD dans la même zone de disponibilité. Par défaut, ce runbook ne changera pas le type d'instance si des volumes de stockage d'instance sont attachés ou si l'instance fait partie d'une AWS CloudFormation pile. Si vous souhaitez modifier ce comportement, spécifiez `yes` l'un des `AllowCloudFormationInstances` paramètres `AllowInstanceStoreInstances` et.
**Important**
L'accès aux `AWSPremiumSupport-*` runbooks nécessite un abonnement Business \$1 Support, Enterprise Support ou Unified Operations. Pour plus d'informations, voir [Comparer les AWS Support forfaits](https://aws.amazon.com/premiumsupport/plans/).
**Considérations**
+ Nous vous recommandons de sauvegarder votre instance avant d'utiliser ce runbook.
+ Pour modifier le type d'instance, le runbook doit arrêter votre instance. Lorsqu'une instance est arrêtée, toutes les données stockées dans la RAM ou dans les volumes de stockage de l'instance sont perdues et l' IPv4 adresse publique automatique est libérée. Pour plus d’informations, consultez [Arrêt et démarrage de votre instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html).
+ Si vous ne spécifiez aucune valeur pour le `TargetInstanceType` paramètre, le runbook tente d'identifier l'instance AMD équivalente en termes de virtualisation CPUs et de mémoire au sein de la même famille d'instances. Le runbook se termine s'il n'est pas en mesure d'identifier un type d'instance AMD équivalent.
+ En utilisant `DryRun` cette option, vous pouvez capturer le type d'instance AMD équivalent et valider les exigences sans réellement modifier le type d'instance.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-ChangeInstanceTypeIntelToAMD)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Reconnaître
Type : Chaîne
Description : (Obligatoire) Entrez `yes` pour confirmer que votre instance cible sera arrêtée si elle est en cours d'exécution.
+ InstanceId
Type : Chaîne
Description : (Obligatoire) L'ID de l'instance Amazon EC2 dont vous souhaitez modifier le type.
+ TargetInstanceType
Type : Chaîne
Par défaut : automatique
Description : (Facultatif) Le type d'instance AMD auquel vous souhaitez remplacer votre instance. La `automatic` valeur par défaut utilise le type d'instance équivalent en termes de virtuel CPUs et de mémoire. Par exemple, un m5.large serait remplacé par m5a.large.
+ AllowInstanceStoreInstances
Type : Chaîne
Valeurs valides : non \$1 oui
Par défaut : non
Description : (Facultatif) Si vous le spécifiez`yes`, le runbook s'exécute sur des instances auxquelles des volumes de stockage d'instance sont attachés.
+ AllowCloudFormationInstances
Type : Chaîne
Valeurs valides : non \$1 oui
Par défaut : non
Description : (Facultatif) S'il est défini sur`yes`, le runbook s'exécute sur des instances faisant partie d'une CloudFormation pile.
+ AllowCrossGeneration
Type : Chaîne
Valeurs valides : non \$1 oui
Par défaut : non
Description : (Facultatif) Si ce paramètre est défini sur`yes`, le runbook tente de trouver le type d'instance AMD équivalent le plus récent au sein de la même famille d'instances.
+ DryRun
Type : Chaîne
Valeurs valides : non \$1 oui
Par défaut : non
Description : (Facultatif) Si ce paramètre est défini sur`yes`, le runbook renvoie le type d'instance AMD équivalent et valide les exigences de migration sans apporter de modifications au type d'instance.
+ SleepWait
Type : Chaîne
Par défaut : PT3 S
Description : (Facultatif) Le temps que le runbook doit attendre avant de démarrer une nouvelle automatisation. La valeur que vous fournissez pour ce paramètre doit correspondre à la norme ISO 8601. Pour plus d'informations sur la création de chaînes ISO 8601, consultez [Formatage des chaînes de date et d'heure pour Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-datetime-strings.html#systems-manager-datetime-strings-format).
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:DescribeAutomationExecutions`
+ `ssm:GetAutomationExecution`
+ `ssm:StartAutomationExecution`
+ `ec2:GetInstanceTypesFromInstanceRequirements`
+ `ec2:DescribeInstanceAttribute`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceStatus`
+ `ec2:DescribeInstanceTypeOfferings`
+ `ec2:DescribeInstanceTypes`
+ `ec2:DescribeTags`
+ `ec2:ModifyInstanceAttribute`
+ `ec2:StartInstances`
+ `ec2:StopInstances`
**Étapes de document**
1. `aws:assertAwsResourceProperty`: confirme que le statut de l'instance Amazon EC2 cible est `running` `pending``stopped`, ou. `stopping` Dans le cas contraire, l'automatisation prend fin.
1. `aws:executeAwsApi`: rassemble les propriétés de l'instance Amazon EC2 cible.
1. `aws:branch`: répartit l'automatisation en fonction de l'état de l'instance Amazon EC2.
1. Dans l'`stopped`affirmative`stopping`, l'automatisation s'exécute `aws:waitForAwsResourceProperty` jusqu'à ce que l'instance Amazon EC2 soit complètement arrêtée.
1. Dans l'`running`affirmative`pending`, l'automatisation s'exécute `aws:waitForAwsResourceProperty` jusqu'à ce que l'instance Amazon EC2 passe les vérifications de statut.
1. `aws:assertAwsResourceProperty`: confirme que l'instance Amazon EC2 ne fait pas partie d'un groupe Auto Scaling en vérifiant si la `aws:autoscaling:groupName` balise est appliquée.
1. `aws:executeAwsApi`: rassemble les propriétés du type d'instance actuel pour trouver le type d'instance AMD équivalent.
1. `aws:assertAwsResourceProperty`: confirme qu'aucun code AWS Marketplace produit n'est associé à l'instance Amazon EC2. Certains produits ne sont pas disponibles sur tous les types d'instances.
1. `aws:branch`: répartit l'automatisation selon que vous souhaitez que l'automatisation vérifie si l'instance Amazon EC2 fait partie d'une pile CloudFormation
1. Si la `aws:cloudformation:stack-name` balise est appliquée à l'instance, l'automatisation s'exécute `aws:assertAwsResourceProperty` pour confirmer que l'instance ne fait pas partie d'une CloudFormation pile.
1. `aws:branch`: répartit l'automatisation selon que le type de volume racine de l'instance est Amazon Elastic Block Store (Amazon EBS).
1. `aws:assertAwsResourceProperty`: confirme que le comportement d'arrêt de l'instance est `stop` ou non`terminate`.
1. `aws:executeScript`: confirme qu'il n'existe qu'une seule automatisation de ce runbook ciblant l'instance actuelle. Si une autre automatisation est déjà en cours ciblant la même instance, elle renvoie une erreur et se termine.
1. `aws:executeAwsApi`: Renvoie une liste des types d'instances AMD avec la même quantité de mémoire et CPUs v.
1. `aws:executeScript`: Vérifie si le type d'instance actuel est pris en charge et renvoie son type d'instance AMD équivalent. S'il n'y a pas d'équivalent, l'automatisation prend fin.
1. `aws:executeScript`: confirme que le type d'instance AMD est disponible dans la même zone de disponibilité et vérifie les autorisations IAM fournies.
1. `aws:branch`: Branche l'automatisation selon que la valeur du `DryRun` paramètre est ou non`yes`.
1. `aws:branch`: Vérifie si le type d'instance d'origine et le type d'instance cible sont identiques. S'ils sont identiques, l'automatisation prend fin.
1. `aws:executeAwsApi`: obtient l'état actuel de l'instance.
1. `aws:changeInstanceState`: arrête l'instance Amazon EC2.
1. `aws:changeInstanceState`: force l'instance à s'arrêter si elle est bloquée en état d'arrêt.
1. `aws:executeAwsApi`: remplace le type d'instance par le type d'instance AMD cible.
1. `aws:sleep`: Attend 3 secondes après avoir changé le type d'instance pour une cohérence éventuelle.
1. `aws:branch`: répartit l'automatisation en fonction de l'état de l'instance précédent. Si c'est le cas`running`, l'instance est démarrée.
1. `aws:changeInstanceState`: démarre l'instance Amazon EC2 si elle était en cours d'exécution avant de modifier le type d'instance.
1. `aws:waitForAwsResourceProperty`: attend que l'instance Amazon EC2 passe les vérifications de statut. Si l'instance ne passe pas les vérifications de statut, le type d'instance d'origine est rétabli.
1. `aws:changeInstanceState`: arrête l'instance Amazon EC2 avant de lui redonner son type d'instance d'origine.
1. `aws:changeInstanceState`: force l'instance Amazon EC2 à s'arrêter avant de la remplacer par son type d'instance d'origine au cas où elle resterait bloquée dans un état d'arrêt.
1. `aws:executeAwsApi`: remplace le type d'origine de l'instance Amazon EC2.
1. `aws:sleep`: Attend 3 secondes après le changement de type d'instance pour une cohérence éventuelle.
1. `aws:changeInstanceState`: démarre l'instance Amazon EC2 si elle était en cours d'exécution avant de modifier le type d'instance.
1. `aws:waitForAwsResourceProperty`: attend que l'instance Amazon EC2 passe les vérifications de statut.
1. `aws:sleep`: Attend avant de terminer le runbook.
# `AWSSupport-CheckXenToNitroMigrationRequirements`
**Description**
Le `AWSSupport-CheckXenToNitroMigrationRequirements` runbook vérifie qu'une instance Amazon Elastic Compute Cloud EC2 (Amazon) répond aux conditions requises pour réussir à changer le type d'instance d'une instance de type Xen à un type d'instance basé sur Nitro. Cette automatisation vérifie les points suivants :
+ Le périphérique racine est un volume Amazon Elastic Block Store (Amazon EBS).
+ L'`enaSupport`attribut est activé.
+ Le module ENA est installé sur l'instance.
+ Le NVMe module est installé sur l'instance. Dans l'affirmative, le module est installé et un script vérifie qu'il est chargé dans l'`initramfs`image.
+ Analyse `/etc/fstab` et recherche les périphériques en mode bloc en cours de montage à l'aide de noms de périphériques.
+ Détermine si le système d'exploitation (OS) utilise par défaut des noms d'interface réseau prévisibles.
Ce runbook est compatible avec les systèmes d'exploitation suivants :
+ Red Hat Enterprise Linux
+ CentOS
+ Amazon Linux 2
+ Amazon Linux
+ Debian Server
+ Ubuntu Server
+ SUSE Linux Enterprise Server 15 SP2
+ SUSE Linux Enterprise Server 12 SP5
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-CheckXenToNitroMigrationRequirements)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : String
Valeur par défaut : false
Description : (Obligatoire) L'ID de l' EC2 instance Amazon dont vous souhaitez vérifier les conditions préalables avant de migrer vers un type d'instance basé sur Nitro.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:DescribeAutomationExecutions`
+ `ssm:DescribeAutomationStepExecutions`
+ `ssm:DescribeAutomationStepExecutions`
+ `ssm:DescribeInstanceInformation`
+ `ssm:DescribeInstanceProperties`
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ssm:GetDocument`
+ `ssm:ListCommands`
+ `ssm:ListCommandInvocations`
+ `ssm:ListDocuments`
+ `ssm:StartAutomationExecution`
+ `ssm:SendCommand`
+ `iam:ListRoles`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstancesTypes`
**Étapes de document**
+ `aws:executeAwsApi`- Recueille des informations sur l'instance.
+ `aws:executeAwsApi`- Recueille des informations sur l'hyperviseur pour l'instance.
+ `aws:branch`- Branches selon que l'instance cible exécute déjà un type d'instance basé sur Nitro ou non.
+ `aws:branch`- Vérifie si le système d'exploitation de l'instance est pris en charge par les instances basées sur Nitro.
+ `aws:assertAwsResourceProperty`- Vérifie que l'instance que vous avez spécifiée est gérée par Systems Manager et que son statut est `Online` le cas.
+ `aws:branch`- Branches selon que le périphérique racine de l'instance est un volume Amazon EBS ou non.
+ `aws:branch`- Branches selon que l'attribut ENA est activé ou non pour l'instance.
+ `aws:runCommand`- Vérifie la présence de pilotes ENA sur l'instance.
+ `aws:runCommand`- Vérifie la présence de NVMe pilotes sur l'instance.
+ `aws:runCommand`- Vérifie la présence de `fstab` formats non reconnus dans le fichier.
+ `aws:runCommand`- Vérifie la configuration prévisible du nom d'interface sur l'instance.
+ `aws:executeScript`- Génère une sortie basée sur les étapes précédentes.
**Sorties**
FinalOutput.Output - Les résultats des contrôles effectués par l'automatisation.
# `AWSSupport-CloneXenEC2InstanceAndMigrateToNitro`
**Description**
[Les **AWSSupport-CloneXenEC2 InstanceAndMigrateToNitro** runbook clonent, préparent et migrent l'instance Linux Amazon Elastic Compute Cloud (Amazon EC2) clonée, actuellement exécutée sur la plateforme Amazon EC2 Xen, pour l'exécuter sur la plateforme Amazon EC2 Nitro.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#ec2-nitro-instances) Cette automatisation est divisée en trois branches différentes :
+ **Contrôles préliminaires** : évalue toutes les conditions préalables à la migration, notamment en vérifiant si l'instance Amazon EC2 cible est déjà en cours d'exécution sur la plateforme Nitro, en déterminant l'état du cycle de vie, en validant le système d'exploitation et en vérifiant la connectivité de Systems Manager.
+ **Test** : crée un test AMI à partir de l'instance Amazon EC2 cible et lance une instance Amazon EC2 de test pour valider le processus de migration avant de poursuivre.
+ **CloneAndMigrate**: crée un clone de l'instance Amazon EC2 cible, installe les pilotes nécessaires, configure le système pour la plateforme Nitro et remplace le type d'instance par le type Nitro souhaité.
**Important**
Avant de donner l'autorisation d'arrêter l'instance Amazon EC2 cible, assurez-vous que toutes les applications exécutées sur l'instance sont correctement fermées. Si aucune adresse IP élastique n'est associée à l'instance Amazon EC2, l' IPv4 adresse publique automatique changera une fois l'instance arrêtée et démarrée.
**Important**
**Avertissement** : l'exécution de ce runbook peut entraîner des frais supplémentaires sur votre compte pour l'instance Amazon EC2, Amazon EBS Volumes & s. AMI Consultez les [tarifs Amazon EC2](https://aws.amazon.com/ec2/pricing/) et [Amazon EBS pour plus de détails](https://aws.amazon.com/ebs/pricing/).
**Important**
**Conditions préalables**
L'instance Amazon EC2 cible nécessite un accès sortant aux référentiels pour installer les pilotes et les dépendances tels que`kernel-devel`,,,,,,`gcc`,`patch`, `rpm-build` `wget` `dracut` `make``linux-headers`, et `unzip` utiliser le gestionnaire de packages si nécessaire.
**Systèmes d'exploitation pris en charge**
+ Red Hat Enterprise Linux (RHEL) 8 et 9
+ Amazon Linux 2 et AL2023
+ Ubuntu Server 18.04 LTS, 20.04 et 22.04
+ Debian 11 et 12 (AWS partition uniquement)
+ SUSE12SP5 et SUSE15 SP (5,6)
**Fonctionnement**
Le runbook exécute les étapes de haut niveau suivantes :
+ Valide les prérequis et vérifie si l'instance est adaptée à la migration.
+ Crée et teste un AMI pour garantir le succès de la migration.
+ Active l'attribut Enhanced Networking (ENA) et installe les derniers pilotes ENA.
+ Vérifie et configure le NVMe module dans initramfs.
+ Analyse et modifie /etc/fstab pour remplacer les noms des périphériques par. UUIDs
+ Désactive la dénomination prévisible des interfaces et supprime les règles réseau persistantes.
+ Remplace le type d'instance clonée par le type Nitro souhaité.
+ Crée une image finale AMI qui peut être utilisée comme image dorée pour le lancement d'instances Nitro.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-CloneXenEC2InstanceAndMigrateToNitro)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux
**Paramètres**
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `autoscaling:DescribeAutoScalingInstances`
+ `ec2:CreateImage`
+ `ec2:CreateTags`
+ `ec2:DescribeImages`
+ `ec2:DescribeInstanceAttribute`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceStatus`
+ `ec2:DescribeInstanceTypeOfferings`
+ `ec2:DescribeInstanceTypes`
+ `ec2:DeregisterImage`
+ `ec2:ModifyInstanceAttribute`
+ `ec2:RunInstances`
+ `ec2:StartInstances`
+ `ec2:StopInstances`
+ `ec2:TerminateInstances`
+ `iam:PassRole`
+ `sns:Publish`
+ `ssm:DescribeAutomationExecutions`
+ `ssm:DescribeInstanceInformation`
+ `ssm:SendCommand`
Exemple de politique IAM :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingInstances",
"ec2:CreateImage",
"ec2:CreateTags",
"ec2:DescribeImages",
:ec2:DescribeInstanceAttribute:,
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypes",
"ec2:DeregisterImage",
"ec2:ModifyInstanceAttribute",
"ec2:RunInstances",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances",
"iam:PassRole",
"ssm:DescribeAutomationExecutions",
"ssm:DescribeInstanceInformation",
"ssm:SendCommand"
],
"Resource": "*"
}
]
}
```
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-CloneXenEC2InstanceAndMigrateToNitro/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-CloneXenEC2InstanceAndMigrateToNitro/description)à Systems Manager sous Documents.
1. Sélectionnez **`Execute automation`**.
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
+ Description : (Facultatif) L'ARN du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Type : `AWS::IAM::Role::Arn`
+ **TargetInstanceId (Obligatoire) :**
+ Description : (Obligatoire) ID d'instance de l'instance Amazon EC2 cible que vous souhaitez migrer vers la plateforme Nitro.
+ Type : `AWS::EC2::Instance::Id`
+ **NitroInstanceType (Facultatif) :**
+ Description : (Facultatif) Entrez le type d'instance Nitro de destination. Seules les instances Nitro M5, M6, C5, C6, R5, R6 et T3 sont prises en charge (par exemple t3.small). Par défaut : m5.xlarge.
+ Type : `String`
+ Modèle autorisé : `^(m5a?z?d?n?|c5a?d?n?|r5a?d?n?b?|(c|m|r)6(a|i)?d?)\\.(2|4|8|12|16|24|32)?xlarge$|^t3a?\\.((x|2x)?large|nano|micro|small|medium)$`
+ Valeur par défaut : `m5.xlarge`
+ **SNSTopicArn (obligatoire) :**
+ Description : (Obligatoire) Fournissez l'ARN de la rubrique Amazon SNS pour la notification d'approbation. Cette rubrique Amazon SNS est utilisée pour envoyer des notifications d'approbation lors de l'exécution de l'automatisation.
+ Type : `String`
+ Modèle autorisé : `^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):sns:(us(-gov|-isob?)?|ap|ca|af|me|cn|eu|sa)-(central|(north|south)?(east|west)?)-\\d:\\d{12}:[a-zA-Z0-9_.-]{1,256}$`
+ **ApproverIAM (obligatoire) :**
+ Description : (Obligatoire) Fournissez une liste des principaux AWS authentifiés qui sont en mesure d'approuver ou de rejeter l'action. Le nombre maximum d'approbateurs est de 10.
+ Type : `StringList`
+ Modèle autorisé : `^[a-zA-Z0-9_+=,.@\\-\/]{1,128}$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):(sts|iam)::[0-9]{12}:[a-zA-Z0-9_+=,.@\\-\/]{1,256}$`
+ **MinimumRequiredApprovals (Facultatif) :**
+ Description : (Facultatif) Le nombre minimum d'approbations requises pour reprendre l'automatisation. Par défaut : 1.
+ Type : Integer
+ Valeur par défaut : 1
+ **DeleteResourcesOnFailure (Facultatif) :**
+ Description : (Facultatif) Indique s'il faut mettre fin à l'instance Amazon EC2 clonée AMI et si l'automatisation échoue.
+ Type : `Boolean`
+ Valeurs autorisées : `[true, false]`
+ Valeur par défaut : `true`
+ **Reconnaissance (obligatoire) :**
+ Description : (Obligatoire) Veuillez lire le détail complet des actions effectuées par ce manuel d'automatisation et écrire « Oui, je comprends et j'accepte » si vous reconnaissez les étapes.
+ Type : `String`
+ Modèle autorisé : `^Yes, I understand and acknowledge$`
+ **AllowInstanceStoreInstances (Facultatif) :**
+ Description : (Facultatif) Si vous le spécifiez`yes`, le runbook s'exécute sur des instances auxquelles des volumes de stockage d'instance sont attachés. **Avertissement :** les données des volumes de stockage de l'instance sont perdues lorsque l'instance est arrêtée. Ce paramètre permet d'éviter les pertes de données accidentelles.
+ Type : `Boolean`
+ Valeurs autorisées : `[yes, no]`
+ Valeur par défaut : `no`
1. Sélectionnez **Exécuter**.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **`checkConcurrency`**:
Garantit qu'il n'y a qu'une seule exécution de ce runbook ciblant l'instance Amazon EC2 actuelle.
+ **`getTargetInstanceProperties`**:
Récupère les détails de l'instance Amazon EC2 cible.
+ **`checkIfNitroInstanceTypeIsSupportedInAZ`**:
Détermine si le type d'instance Nitro cible est pris en charge dans la même zone de disponibilité que l'instance Amazon EC2 cible.
+ **`createTestImage`**:
Crée un test AMI à partir de l'instance fournie.
+ **`launchTestInstanceInSameSubnet`**:
Lance une instance Amazon EC2 de test à partir du test AMI en utilisant la même configuration que l'instance Amazon EC2 cible.
+ **`approvalToStopTargetInstance`**:
Attend l'approbation des principaux désignés pour arrêter l'instance cible.
+ **`createBackupImage`**:
Crée un AMI à partir de l'instance fournie pour la sauvegarde.
+ **`launchInstanceInSameSubnet`**:
Lance une nouvelle instance Amazon EC2 à partir de la sauvegarde AMI en utilisant la même configuration que l'instance Amazon EC2 source.
+ **`checkAndInstallENADrivers`**:
Détermine la disponibilité des pilotes ENA (Enhanced Networking Adapter) sur l'instance Amazon EC2 et les installe s'ils sont absents.
+ **`checkAndAddNVMEDrivers`**:
Détermine la disponibilité des pilotes NVMe sur l'instance Amazon EC2 clonée et les installe s'ils sont absents.
+ **`checkAndModifyFSTABEntries`**:
Détermine si le nom du périphérique est utilisé `/etc/fstab` et le remplace par le leur UUIDs, s'il est trouvé.
+ **`setNitroInstanceTypeForClonedInstance`**:
Définit le type d'instance Amazon EC2 cible fourni pour l'instance Amazon EC2 clonée.
+ **`approvalForCreatingImageAfterDriversInstallation`**:
Attend l'approbation de l'utilisateur si l'instance Amazon EC2 clonée démarre correctement sur la plate-forme Nitro.
+ **`createImageAfterDriversInstallation`**:
Crée une image à partir de la nouvelle instance Amazon EC2 uniquement si celle-ci démarre correctement sur Nitro Platform.
1. Une fois terminé, consultez la section **Sorties** pour connaître les résultats détaillés de l'exécution.
**Références**
AWS Systems Manager Automatisation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-CloneXenEC2InstanceAndMigrateToNitro/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Support des flux de travail automatisés](https://aws.amazon.com/premiumsupport/technology/saw/)
# `AWSSupport-ConfigureEC2Metadata`
**Description**
Ce runbook vous aide à configurer les options du service de métadonnées d'instance (IMDS) pour les instances Amazon Elastic Compute Cloud EC2 (Amazon). À l'aide de ce runbook, vous pouvez configurer les éléments suivants :
+ Imposez l'utilisation de métadonnées, par IMDSv2 exemple.
+ Configurez la `HttpPutResponseHopLimit` valeur.
+ Autorisez ou refusez l'accès aux métadonnées de l'instance.
Pour plus d'informations sur les métadonnées d'instance, consultez [Configuration du service de métadonnées d'instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) dans le *guide de EC2 l'utilisateur Amazon*.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ConfigureEC2Metadata)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Faire appliquer IMDSv2
Type : String
Valeurs valides : obligatoire \$1 facultatif
Par défaut : optionnel
Description : (Facultatif) Appliquer IMDSv2. Si vous le souhaitez`required`, l' EC2 instance Amazon utilisera uniquement IMDSv2. Si vous le souhaitez`optional`, vous pouvez choisir entre IMDSv1 et IMDSv2 pour l'accès aux métadonnées.
**Important**
Si vous l'appliquez IMDSv2, les applications qui l'utilisent IMDSv1 risquent de ne pas fonctionner correctement. Avant de procéder à l'application IMDSv2, assurez-vous que vos applications qui utilisent l'IMDS sont mises à niveau vers une version compatible. IMDSv2 Pour plus d'informations sur le service de métadonnées d'instance version 2 (IMDSv2), consultez [la section Configuration du service de métadonnées d'instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) dans le *guide de EC2 l'utilisateur Amazon*.
+ HttpPutResponseHopLimit
Type : entier
Valeurs valides : 0 à 64
Par défaut : 0
Description : (Facultatif) La valeur limite de saut de réponse HTTP PUT souhaitée (1 à 64) pour les demandes de métadonnées d'instance. Cette valeur contrôle le nombre de sauts que la réponse PUT peut effectuer. Pour empêcher la réponse de voyager en dehors de l'instance, spécifiez `1` la valeur du paramètre.
+ InstanceId
Type : String
Description : (Obligatoire) L'ID de l' EC2 instance Amazon dont vous souhaitez configurer les paramètres de métadonnées.
+ MetadataAccess
Type : String
Valeurs valides : activé \$1 désactivé
Par défaut : activé
Description : (Facultatif) Autorisez ou refusez l'accès aux métadonnées de l' EC2 instance Amazon. Si vous le spécifiez`disabled`, tous les autres paramètres seront ignorés et l'accès aux métadonnées sera refusé à l'instance.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:DescribeInstances`
+ `ec2:ModifyInstanceMetadataOptions`
+ `ssm:GetAutomationExecution`
+ `ssm:StartAutomationExecution`
**Étapes de document**
1. branchOnMetadataAccès - Automatisation des branches en fonction de la valeur du `MetadataAccess` paramètre.
1. disableMetadataAccess - Appelle l'action ModifyInstanceMetadataOptions API pour désactiver l'accès au point de terminaison des métadonnées.
1. branchOnHttpPutResponseHopLimit - Automatisation des branches en fonction de la valeur du `HttpPutResponseHopLimit` paramètre.
1. maintainHopLimitAndConfigureImdsVersion - Si la valeur `HttpPutResponseHopLimit` est 0, la limite de sauts actuelle est maintenue et les autres options de métadonnées sont modifiées.
1. waitBeforeAssertingIMDSv2État : attend 30 secondes avant de confirmer le statut. IMDSv2
1. setHopLimitAndConfigureImdsVersion - Si la `HttpPutResponseHopLimit` valeur est supérieure à 0, configure les options de métadonnées en utilisant les paramètres d'entrée donnés.
1. waitBeforeAssertingHopLimit - Attend 30 secondes avant de valider les options de métadonnées.
1. assertHopLimit - Affirme que la `HttpPutResponseHopLimit` propriété est définie sur la valeur que vous avez spécifiée.
1. branchVerificationOnIMDSv2Option - Vérification des branches en fonction de la valeur du `EnforceIMDSv2` paramètre.
1. assert IMDSv2 IsOptional - Affirme une `HttpTokens` valeur définie sur. `optional`
1. assert IMDSv2 IsEnforced - Affirme une `HttpTokens` valeur définie sur. `required`
1. waitBeforeAssertingMetadataState - Attend 30 secondes avant de confirmer que l'état des métadonnées est désactivé.
1. assertMetadataIsDésactivé - Affirme que les métadonnées sont`disabled`.
1. describeMetadataOptions - Obtient les options de métadonnées une fois que les modifications que vous avez spécifiées ont été appliquées.
**Sorties**
describeMetadataOptions.État
describeMetadataOptions.MetadataAccess
describeMetadataOptions.IMDSv2
describeMetadataOptions.HttpPutResponseHopLimit
# `AWSSupport-ContainEC2Instance`
**Description**
Le `AWSSupport-ContainEC2Instance` runbook fournit une solution automatisée pour la procédure décrite dans l'article [Comment isoler l'instance Amazon EC2 face à une instance potentiellement compromise](https://repost.aws/articles/ARwkDzoO-8RN-SDQnA1aX-XA) ou suspecte ? Les branches d'automatisation dépendent des valeurs que vous spécifiez.
**Fonctionnement**
Ce manuel d'automatisation `AWSSupport-ContainEC2Instance` assure le confinement du réseau d'une instance Amazon EC2 par le biais d'une série d'étapes coordonnées. Lorsqu'il est exécuté en `Contain` mode, il valide d'abord les paramètres d'entrée et vérifie si l'instance n'est pas terminée. Il sauvegarde ensuite la configuration actuelle du groupe de sécurité dans un compartiment Amazon S3 pour une restauration ultérieure. Le runbook crée deux groupes de sécurité : un groupe de sécurité temporaire « tous accès » et un groupe de sécurité « de confinement » final. Il fait passer progressivement les interfaces réseau de l'instance de leurs groupes de sécurité d'origine au groupe de sécurité à accès complet, puis au groupe de sécurité de confinement. Si cela est spécifié, il crée des AMI sauvegardes chiffrées et non chiffrées de l'instance. Pour les instances d'un groupe Auto Scaling, il gère les modifications nécessaires au groupe Auto Scaling et met l'instance en état de veille. Lorsqu'il est exécuté en `Release` mode, il restaure la configuration réseau d'origine de l'instance à l'aide des paramètres sauvegardés d'Amazon S3. Le runbook prend en charge un `DryRun` paramètre permettant de prévisualiser les actions sans apporter de modifications réelles, et inclut des mécanismes complets de gestion des erreurs et de signalement tout au long des flux de travail de confinement et de publication.
**Important**
Ce runbook effectue diverses opérations qui nécessitent des privilèges élevés, telles que la modification de groupes de sécurité, la création de AMI s et l'interaction avec les groupes Auto Scaling. Ces actions peuvent potentiellement entraîner une augmentation des privilèges ou avoir un impact sur d'autres charges de travail de votre compte. Vous devez vérifier les autorisations accordées au rôle spécifié par le `AutomationAssumeRole` paramètre et vous assurer qu'elles sont adaptées au cas d'utilisation prévu. Vous pouvez consulter la AWS documentation suivante pour plus d'informations sur les autorisations IAM : [https://docs.aws.amazon.com//IAM/latest/UserGuide/access_controlling.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_controlling.html).
Ce runbook exécute des actions mutatives susceptibles d'entraîner une indisponibilité ou une interruption de vos charges de travail. Plus précisément, il modifie les groupes de sécurité associés à l'instance Amazon EC2 cible, ce qui peut avoir un impact sur la connectivité réseau. De plus, si l'instance fait partie d'un groupe Auto Scaling, le runbook peut modifier la configuration du groupe, ce qui peut affecter son comportement de dimensionnement.
Au cours du processus de confinement, ce runbook crée des ressources supplémentaires, telles que des groupes de sécurité et AMI des. Bien que ces ressources soient étiquetées à des fins d'identification, vous devez être conscient de leur création et veiller à ce qu'elles soient nettoyées ou gérées correctement une fois le processus de confinement terminé.
Si le `Action` paramètre est défini sur`Release`, ce runbook tente de restaurer la configuration d'origine de l'instance Amazon EC2. Cependant, le processus de restauration risque d'échouer et de laisser l'instance dans un état incohérent. Le manuel d'exécution fournit des instructions pour la restauration manuelle en cas de telles défaillances, mais vous devez être prêt à gérer les problèmes potentiels pendant le processus de restauration.
Il est recommandé de lire attentivement le runbook, de comprendre ses impacts potentiels et de le tester dans un environnement hors production avant de l'exécuter dans votre environnement de production.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ContainEC2Instance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
/
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ mise à l'échelle automatique : CreateOrUpdateTags
+ mise à l'échelle automatique : DeleteTags
+ mise à l'échelle automatique : DescribeAutoScalingGroups
+ mise à l'échelle automatique : DescribeAutoScalingInstances
+ mise à l'échelle automatique : DescribeTags
+ mise à l'échelle automatique : EnterStandby
+ mise à l'échelle automatique : ExitStandby
+ mise à l'échelle automatique : UpdateAutoScalingGroup
+ EC2 : AuthorizeSecurityGroupEgress
+ EC2 : AuthorizeSecurityGroupIngress
+ EC2 : CopyImage
+ EC2 : CreateImage
+ EC2 : CreateSecurityGroup
+ EC2 : CreateSnapshot
+ EC2 : CreateTags
+ EC2 : DeleteSecurityGroup
+ EC2 : DeleteTags
+ EC2 : DescribeImages
+ EC2 : DescribeInstances
+ EC2 : DescribeSecurityGroups
+ EC2 : DescribeSnapshots
+ EC2 : DescribeTags
+ EC2 : ModifyNetworkInterfaceAttribute
+ EC2 : RevokeSecurityGroupEgress
+ km : CreateGrant
+ km : DescribeKey
+ km : GenerateDataKeyWithoutPlaintext
+ km : ReEncryptFrom
+ km : ReEncryptTo
+ s3 : CreateBucket
+ s3 : DeleteObjectTagging
+ s3 : GetAccountPublicAccessBlock
+ s3 : GetBucketAcl
+ s3 : GetBucketLocation
+ s3 : GetBucketOwnershipControls
+ s3 : GetBucketPolicy
+ s3 : GetBucketPolicyStatus
+ s3 : GetBucketPublicAccessBlock
+ s3 : GetObject
+ s3 : ListBucket
+ s3 : PutAccountPublicAccessBlock
+ s3 : PutBucketPolicy
+ s3 : PutBucketVersioning
+ s3 : PutObject
+ s3 : PutObjectTagging
Exemple de politique :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadOperations",
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"autoscaling:DescribeTags",
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshots",
"ec2:DescribeTags",
"kms:DescribeKey",
"s3:GetAccountPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketOwnershipControls",
"s3:GetBucketPolicy",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "*"
},
{
"Sid": "WriteOperations",
"Effect": "Allow",
"Action": [
"autoscaling:CreateOrUpdateTags",
"autoscaling:DeleteTags",
"autoscaling:EnterStandby",
"autoscaling:ExitStandby",
"autoscaling:UpdateAutoScalingGroup",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CopyImage",
"ec2:CreateImage",
"ec2:CreateSecurityGroup",
"ec2:CreateSnapshot",
"ec2:CreateTags",
"ec2:DeleteSecurityGroup",
"ec2:DeleteTags",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:RevokeSecurityGroupEgress",
"kms:CreateGrant",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"s3:CreateBucket",
"s3:DeleteObjectTagging",
"s3:PutAccountPublicAccessBlock",
"s3:PutBucketPolicy",
"s3:PutBucketVersioning",
"s3:PutObject",
"s3:PutObjectTagging"
],
"Resource": "*"
}
]
}
```
------
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ContainEC2Instance/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ContainEC2Instance/description)à Systems Manager sous Documents.
1. Sélectionnez **Execute automation** (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
+ Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Type : `AWS::IAM::Role::Arn`
+ **Action (obligatoire) :**
+ Description : (Obligatoire) Sélectionnez `Contain` cette option pour isoler l'instance Amazon EC2 ou `Restore` pour essayer de restaurer la configuration d'origine de l'instance Amazon EC2 à partir d'une sauvegarde précédente.
+ Type : Chaîne
+ Modèle autorisé : `Contain|Restore`
+ **DryRun (Facultatif) :**
+ Description : (Facultatif) Lorsqu'elle est définie sur`true`, l'automatisation n'exécute aucune commande. Elle indique plutôt ce qu'elle aurait tenté de faire, en détaillant chaque étape. Valeur par défaut : `true`.
+ Type : Boolean
+ Valeurs autorisées : `true|false`
+ **Créer AMIBackup (facultatif) :**
+ Description : (Facultatif) Lorsque ce paramètre est défini sur`true`, l'une AMI des instances Amazon EC2 sera créée avant d'effectuer les actions de confinement.
+ Type : Boolean
+ Valeurs autorisées : `true|false`
+ **KmsKey (Facultatif) :**
+ Description : (Facultatif) L'ID de la AWS KMS clé qui sera utilisée pour créer une instance Amazon EC2 cible chiffréeAMI. La valeur par défaut est définie sur `alias/aws/ebs`.
+ Type : Chaîne
+ Modèle autorisé : `^(((arn:(aws|aws-cn|aws-us-gov):kms:([a-z]{2}|[a-z]{2}-gov)-[a-z]+-[0-9]{1}:[0-9]{12}:key/)?([a-f0-9]{8}-[a-f0-9]{4}-[a-f0-9]{4}-[a-f0-9]{4}-[a-f0-9]{12}|mrk-[a-f0-9]{32}))|(arn:(aws|aws-cn|aws-us-gov):kms:([a-z]{2}|[a-z]{2}-gov)-[a-z]+-[0-9]{1}:[0-9]{12}:)?alias/.{1,})$`
+ **BackupS3 BucketName (conditionnel) :**
+ Description : compartiment Amazon Amazon S3 (conditionnel) pour télécharger la configuration quand elle `Action` est `Contain` ou pour restaurer la configuration quand elle `Action` est`Release`. **Remarque :** si le compartiment fourni n'existe pas dans le compte, l'automatisation créera un compartiment Amazon S3 en votre nom.
+ Type : `AWS::S3::Bucket::Name`
+ **TagIdentifier (Facultatif) :**
+ Description : (Facultatif) Une balise au format `Key=BatchId,Value=78925` qui sera ajoutée aux AWS ressources créées ou modifiées par ce runbook pendant le flux de travail de confinement. Cette balise peut être utilisée pour identifier et gérer les ressources associées au cours du processus de confinement. Au cours du processus de restauration, la balise spécifiée par ce paramètre sera supprimée des ressources. **Remarque :** les clés et les valeurs des balises distinguent les majuscules et minuscules.
+ Type : Chaîne
+ Modèle autorisé : `^$|^[Kk][Ee][Yy]=[\\+\\-\\=\\.\\_\\:\\/@a-zA-Z0-9]{1,128},[Vv][Aa][Ll][Uu][Ee]=[\\+\\-\\=\\.\\_\\:\\/@a-zA-Z0-9]{0,128}$`
+ **BackupS3 BucketAccess (conditionnel) :**
+ Description : (Conditionnel) L'ARN des utilisateurs ou des rôles IAM qui seront autorisés à accéder au compartiment Amazon S3 de sauvegarde après avoir exécuté les actions de confinement. Ce paramètre est obligatoire quand c'`Action`est le cas`Contain`. L'utilisateur ou`AutomationAssumeRole`, en son absence, l'utilisateur dans le contexte duquel l'automatisation est exécutée est automatiquement ajouté à la liste.
+ Type : Chaîne
+ Modèle autorisé : `^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::[0-9]{12}:(role|user)\\/[\\w+\\/=,.@-]+$`
+ **IngressTrafficRules (Facultatif) :**
+ Description : (Facultatif) Carte séparée par des virgules des règles d'entrée des groupes de sécurité avec CIDR FromPort et ToPort au format `[{"Cidr": "1.2.3.4/32", "IpProtocol": "tcp", "FromPort":"22", "ToPort":"22"}]` à appliquer à l'instance Amazon EC2. IpProtocol Si aucune règle n'est fournie, un groupe de sécurité sans règles d'entrée sera attaché à l'instance Amazon EC2, l'isolant ainsi de tout trafic entrant.
+ Type : MapList
+ Modèle autorisé : `^\\{\\}$|^\\{\"Cidr\":\"[\\x00-\\x7F+]{1,128}\",\"IpProtocol\":\"[\\x00-\\x7F+]{1,128}\",\"FromPort\":\"[\\x00-\\x7F+]{1,128}\",\"ToPort\":\"[\\x00-\\x7F+]{0,255}\"\\}`
+ **EgressTrafficRules (Facultatif) :**
+ Description : (Facultatif) Carte séparée par des virgules des règles de sortie des groupes de sécurité avec CIDR FromPort et ToPort au format `[{"Cidr": "1.2.3.4/32", "IpProtocol": "tcp", "FromPort":"22", "ToPort":"22"}]` à appliquer à l'instance Amazon EC2. IpProtocol Si aucune règle n'est fournie, un groupe de sécurité sans règles de sortie sera attaché à l'instance Amazon EC2, empêchant ainsi tout trafic sortant.
+ Type : MapList
+ Modèle autorisé : `^\\{\\}$|^\\{\"Cidr\":\"[\\x00-\\x7F+]{1,128}\",\"IpProtocol\":\"[\\x00-\\x7F+]{1,128}\",\"FromPort\":\"[\\x00-\\x7F+]{1,128}\",\"ToPort\":\"[\\x00-\\x7F+]{0,255}\"\\}`
+ **BackupS3 KeyName (facultatif) :**
+ Description : (Facultatif) Si ce paramètre `Action` est défini sur`Restore`, cela indique la clé Amazon S3 que l'automatisation utilisera pour tenter de restaurer la configuration de l'instance Amazon EC2 cible. La clé Amazon S3 suit généralement ce format :`{year}/{month}/{day}/{hour}/{minute}/{automation_execution_id}.json`. La clé peut être obtenue à partir de la sortie d'une précédente exécution d'automatisation du confinement.
+ Type : Chaîne
+ Modèle autorisé : `^[a-zA-Z0-9\\.\\-_\\\\!*'()/]{0,1024}$`
1. Sélectionnez Exécuter.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **ValidateRequiredInputs**
Valide que toutes les entrées requises sont fournies.
+ **AssertInstanceIsNotTerminated**
Vérifie si l'instance Amazon EC2 cible n'est pas terminée (supprimée).
+ **GetAutoScalingInstanceInfo**
Obtient le cycle de vie de l'instance Amazon EC2 et le nom du groupe si l'instance Amazon EC2 cible fait partie d'un groupe Auto Scaling.
+ **CheckBackupS3BucketName**
Vérifie si le compartiment Amazon S3 cible accorde potentiellement un accès `write` public `read` ou accorde un accès public à ses objets. Un nouveau compartiment Amazon S3 est créé s'`BackupS3BucketName`il n'existe pas.
+ **BranchOnActionAndMode**
Branche l'automatisation en fonction des paramètres d'entrée `Action` et`DryRun`.
+ **BranchOnAutoScalingGroupMembership**
Branche l'automatisation en fonction de l'appartenance de l'instance Amazon EC2 cible au groupe Auto Scaling et de son état de cycle de vie.
+ **DescribeAutoScalingGroups**
Obtient et stocke la configuration du groupe Amazon EC2 Auto Scaling associée.
+ **ModifyAutoScalingGroup**
Modifie la configuration du groupe Amazon EC2 Auto Scaling associé pour les actions de confinement, en réglant l'état de l'instance Amazon EC2 et en ajustant `Standby` la capacité du groupe Auto Scaling. `MinSize`
+ **BackupInstanceSecurityGroups**
Obtient et stocke la configuration des groupes de sécurité des instances Amazon EC2 cibles.
+ **CreateAllAccessSecurityGroup**
Crée un groupe de sécurité temporaire autorisant tout le trafic entrant qui remplace les groupes de sécurité de l'instance Amazon EC2 cible.
+ **CreateContainmentSecurityGroup**
Crée un groupe de sécurité de confinement restrictif avec les règles d'entrée et de sortie spécifiées, et remplace le groupe temporaire à accès illimité par celui-ci.
+ **BranchOnCreateAMIBackup**
Branche l'automatisation en fonction du paramètre `CreateAMIBackup` d'entrée.
+ **AssertSourceInstanceRootVolumeIsEbs**
Vérifie si le volume racine de l'instance Amazon EC2 cible est Amazon EBS.
+ **CreateImage**
Crée AMI l'une des instances Amazon EC2 cibles.
+ **RestoreInstanceConfiguration**
Restaure la configuration de l'instance Amazon EC2 cible à partir de la sauvegarde.
+ **ReportContain**
Affiche les détails du cycle à sec pour les actions de confinement.
+ **ReportRestore**
Affiche les détails du fonctionnement à sec pour les actions de restauration.
+ **ReportRestoreFailure**
Fournit des instructions pour restaurer la configuration d'origine de l'instance Amazon EC2 cible lors d'un scénario d'échec du flux de restauration.
+ **ReportContainmentFailure**
Fournit des instructions pour restaurer la configuration initiale de l'instance Amazon EC2 cible lors d'un scénario d'échec du flux de travail de confinement.
+ **FinalOutput**
Affiche les détails des actions de confinement.
1. Une fois l'exécution terminée, consultez la section Sorties pour obtenir les résultats détaillés de l'exécution :
+ **FinalOutput.Sortie**
Affiche les détails des actions de confinement effectuées par ce runbook lorsqu'il `DryRun` est défini sur False.
+ **RestoreInstanceConfiguration.Sortie**
Affiche les actions de restauration effectuées par ce runbook lorsqu'il `DryRun` est défini sur False.
+ **ReportContain.Sortie**
Affiche les détails des actions de confinement effectuées par ce runbook lorsqu'il `DryRun` est défini sur True.
+ **ReportRestore.Sortie**
Affiche les détails des actions de restauration effectuées par ce runbook lorsqu'il `DryRun` est défini sur True.
+ **ReportContainmentFailure.Sortie**
Fournit des instructions pour restaurer la configuration initiale de l'instance Amazon EC2 cible lors d'un scénario d'échec du flux de travail de confinement.
+ **ReportRestoreFailure.Sortie**
Fournit des instructions pour restaurer la configuration d'origine de l'instance Amazon EC2 cible lors d'un scénario d'échec du flux de restauration.
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ContainEC2Instance)
+ [Exécution d'une automatisation simple](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration de l'automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Support des flux de travail automatisés](https://aws.amazon.com/premiumsupport/technology/saw/)
# `AWSSupport-CopyEC2Instance`
**Description**
Le `AWSSupport-CopyEC2Instance` runbook fournit une solution automatisée pour la procédure décrite dans l'article du centre de connaissances [Comment déplacer mon EC2 instance vers un autre sous-réseau, une autre zone de disponibilité ou un autre VPC](https://aws.amazon.com/premiumsupport/knowledge-center/move-ec2-instance/) ? Les branches d'automatisation dépendent des valeurs que vous spécifiez pour les `SubnetId` paramètres `Region` et.
Si vous spécifiez une valeur pour le `SubnetId` paramètre mais pas une valeur pour le `Region` paramètre, l'automatisation crée un Amazon Machine Image (AMI) de l'instance cible et lance une nouvelle instance depuis AMI dans le sous-réseau que vous avez spécifié.
Si vous spécifiez une valeur pour le `SubnetId` paramètre et le `Region` paramètre, l'automatisation crée un AMI de l'instance cible, copie le AMI à celle Région AWS que vous avez spécifiée, et lance une nouvelle instance à partir du AMI dans le sous-réseau que vous avez spécifié.
Si vous spécifiez une valeur pour le `Region` paramètre mais pas une valeur pour le `SubnetId` paramètre, l'automatisation crée un AMI de l'instance cible, copie le AMI dans la région que vous avez spécifiée, et lance une nouvelle instance à partir du AMI dans le sous-réseau par défaut de votre cloud privé virtuel (VPC) dans la région de destination.
Si aucune valeur n'est spécifiée pour les `SubnetId` paramètres `Region` ou, l'automatisation crée un AMI de l'instance cible, et lance une nouvelle instance depuis AMI dans le sous-réseau par défaut de votre VPC.
Pour copier un AMI pour une autre région, vous devez fournir une valeur pour le `AutomationAssumeRole` paramètre. Si l'automatisation expire au cours de l'`waitForAvailableDestinationAmi`étape, AMI est peut-être encore en train de copier. Dans ce cas, vous pouvez attendre que la copie soit terminée et lancer l'instance manuellement.
Avant d'exécuter cette automatisation, notez les points suivants :
+ AMIs sont basés sur des instantanés Amazon Elastic Block Store (Amazon EBS). Pour les systèmes de fichiers volumineux sans capture d'écran préalable, AMI la création peut prendre plusieurs heures. Pour diminuer le AMI heure de création, créez un instantané Amazon EBS avant de créer AMI.
+ Création d'un AMI ne crée pas de capture instantanée pour les volumes de stockage d'instance sur l'instance. Pour plus d'informations sur la sauvegarde des volumes de stockage d'instance sur Amazon EBS, consultez [Comment sauvegarder un volume de stockage d'instance sur mon EC2 instance Amazon sur Amazon EBS](https://aws.amazon.com/premiumsupport/knowledge-center/back-up-instance-store-ebs/) ?
+ La nouvelle EC2 instance Amazon possède une adresse IPv6 IP privée IPv4 ou publique différente. Vous devez mettre à jour toutes les références aux anciennes adresses IP (par exemple, dans les entrées DNS) avec les nouvelles adresses IP attribuées à la nouvelle instance. Si vous utilisez une adresse IP élastique sur votre instance source, veillez à l'associer à la nouvelle instance.
+ Des problèmes de conflit avec l'identifiant de sécurité du domaine (SID) peuvent survenir lorsque la copie est lancée et tente de contacter le domaine. Avant de capturer l'AMI, utilisez Sysprep ou supprimez l'instance jointe au domaine du domaine pour éviter les problèmes de conflit. Pour plus d'informations, voir [Comment utiliser Sysprep pour créer et installer des fenêtres réutilisables personnalisées ? AMIs](https://aws.amazon.com/premiumsupport/knowledge-center/sysprep-create-install-ec2-windows-amis/)
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-CopyEC2Instance)
**Important**
Nous vous déconseillons d'utiliser ce runbook pour copier des instances du contrôleur de domaine Microsoft Active Directory.
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : String
Description : (Obligatoire) L'ID de l'instance que vous souhaitez copier.
+ KeyPair
Type : String
Description : (Facultatif) La paire de clés que vous souhaitez associer à la nouvelle instance copiée. Si vous copiez l'instance dans une autre région, assurez-vous que la paire de clés existe dans la région spécifiée.
+ Région
Type : String
Description : (Facultatif) La région dans laquelle vous souhaitez copier l'instance. Si vous spécifiez une valeur pour ce paramètre, mais que vous ne spécifiez pas de valeurs pour les `SecurityGroupIds` paramètres `SubnetId` et, l'automatisation tente de lancer l'instance dans le VPC par défaut avec le groupe de sécurité par défaut. Si EC2 -Classic est activé dans la région de destination, le lancement échouera.
+ SubnetId
Type : String
Description : (Facultatif) L'ID du sous-réseau dans lequel vous souhaitez copier l'instance. Si EC2 -Classic est activé dans la région de destination, vous devez fournir une valeur pour ce paramètre.
+ InstanceType
Type : String
Description : (Facultatif) Le type d'instance sous lequel l'instance copiée doit être lancée. Si vous ne spécifiez aucune valeur pour ce paramètre, le type d'instance source est utilisé. Si le type d'instance source n'est pas pris en charge dans la région vers laquelle l'instance est copiée, l'automatisation échoue.
+ SecurityGroupIds
Type : String
Description : (Facultatif) Liste séparée par des virgules des groupes de sécurité que IDs vous souhaitez associer à l'instance copiée. Si vous ne spécifiez aucune valeur pour ce paramètre et que l'instance n'est pas copiée dans une autre région, les groupes de sécurité associés à l'instance source sont utilisés. Si vous copiez l'instance vers une autre région, le groupe de sécurité par défaut pour le VPC par défaut dans la région de destination est utilisé.
+ KeepImageSourceRegion
Type : booléen
Valeurs valides : true \$1 false
Valeur par défaut : true
Description : (Facultatif) Si vous spécifiez `true` ce paramètre, l'automatisation ne supprime pas le AMI de l'instance source. Si vous spécifiez `false` ce paramètre, l'automatisation annule l'enregistrement du AMI et supprime les instantanés associés.
+ KeepImageDestinationRegion
Type : booléen
Valeurs valides : true \$1 false
Valeur par défaut : true
Description : (Facultatif) Si vous spécifiez `true` ce paramètre, l'automatisation ne supprime pas le AMI qui est copié dans la région que vous avez spécifiée. Si vous spécifiez `false` ce paramètre, l'automatisation annule l'enregistrement du AMI et supprime les instantanés associés.
+ NoRebootInstanceBeforeTakingImage
Type : booléen
Valeurs valides : true \$1 false
Valeur par défaut : false
Description : (Facultatif) Si vous spécifiez `true` ce paramètre, l'instance source ne sera pas redémarrée avant la création du AMI. Lorsque cette option est utilisée, l'intégrité du système de fichiers sur l'image créée ne peut être garantie.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:CreateImage`
+ `ec2:DeleteSnapshot`
+ `ec2:DeregisterImage`
+ `ec2:DescribeInstances`
+ `ec2:DescribeImages`
+ `ec2:RunInstances`
Si vous copiez l'instance dans une autre région, vous aurez également besoin des autorisations suivantes.
+ `ec2:CopyImage`
**Étapes de document**
+ describeOriginalInstanceDétails : rassemble les détails de l'instance à copier.
+ assertRootVolumeIsEbs - Vérifie si le type de périphérique du volume racine est`ebs`, et dans le cas contraire, met fin à l'automatisation.
+ evalInputParameters - Évalue les valeurs fournies pour les paramètres d'entrée.
+ createLocalAmi - Crée un AMI de l'instance source.
+ tagLocalAmi - Étiquète le AMI créé à l'étape précédente.
+ branchAssertRegionIsSame - Branches selon que l'instance est copiée dans la même région ou dans une autre région.
+ branchAssertSameRegionWithKeyPair - Branches basées sur le fait qu'une valeur a été fournie ou non pour le `KeyPair` paramètre d'une instance copiée dans la même région.
+ sameRegionLaunchInstanceWithKeyPair - Lance une EC2 instance Amazon depuis AMI de l'instance source dans le même sous-réseau ou du sous-réseau que vous spécifiez à l'aide de la paire de clés que vous avez spécifiée.
+ sameRegionLaunchInstanceWithoutKeyPair - Lance une EC2 instance Amazon depuis AMI de l'instance source dans le même sous-réseau ou le sous-réseau que vous spécifiez sans paire de clés.
+ copyAmiToRégion - Copie le AMI vers la région de destination.
+ waitForAvailableDestinationAmi - Attend la copie AMI État à devenir`available`.
+ destinationRegionLaunchInstance : lance une EC2 instance Amazon à l'aide de la copie AMI.
+ branchAssertDestinationAmiToDelete - Branches basées sur la valeur que vous avez fournie pour le `KeepImageDestinationRegion` paramètre.
+ deregisterDestinationAmiAndDeleteSnapshots - Désenregistre le copié AMI et supprime les instantanés associés.
+ branchAssertSourceAmiTodelete - Branches basées sur la valeur que vous avez fournie pour le `KeepImageSourceRegion` paramètre.
+ deregisterSourceAmiAndDeleteSnapshots - Désenregistre le AMI créé à partir de l'instance source et supprime les instantanés associés.
+ sleep : met en veille l'automatisation pendant 2 secondes. Il s'agit d'une étape terminale.
**Sorties**
sameRegionLaunchInstanceWithKeyPair.InstanceIds
sameRegionLaunchInstanceWithoutKeyPair.InstanceIds
destinationRegionLaunchInstance. DestinationInstanceId
# `AWSPremiumSupport-DiagnoseDiskUsageOnLinux`
**Description**
Le **AWSPremiumSupport-DiagnoseDiskUsageOnLinux**runbook analyse les volumes Amazon Elastic Block Store (Amazon EBS) de l'instance Amazon Elastic Compute Cloud (Amazon EC2) cible afin de déterminer s'ils doivent être étendus. Il vérifie l'utilisation, le type de système de fichiers et l'historique d'extension de chaque volume par rapport aux seuils définis dans les paramètres d'entrée du runbook. Le script prend en compte des facteurs tels que les modifications récentes, les systèmes de fichiers pris en charge et les limites de AWS volume. Il affiche ensuite les volumes, le cas échéant, susceptibles d'être étendus, ainsi que les détails pertinents pour chaque volume.
**Fonctionnement**
Ce runbook effectue les opérations suivantes :
+ Vérifie que l'instance cible est gérée par Systems Manager et n'exécute pas Windows
+ Récupère les détails de l'instance, y compris la plate-forme et le type de périphérique racine
+ Récupère les volumes utilisés par l'instance Amazon EC2
+ Exécute des prévérifications sous Linux pour analyser l'utilisation du disque et déterminer les candidats d'extension
+ Produit les volumes susceptibles d'être étendus avec les détails pertinents
**Important**
L'accès aux `AWSPremiumSupport-*` runbooks nécessite un abonnement Business \$1 Support, Enterprise Support ou Unified Operations. Pour plus d'informations, voir [Comparer les AWS Support forfaits](https://aws.amazon.com/premiumsupport/plans/).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-DiagnoseDiskUsageOnLinux)
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ SMS : DescribeInstanceInformation
+ EC2 : DescribeInstances
+ EC2 : DescribeVolumes
+ SMS : SendCommand
+ SMS : ListCommandInvocations
Exemple de politique :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:DescribeInstanceInformation",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ssm:SendCommand",
"ssm:ListCommandInvocations"
],
"Resource": "*"
}
]
}
```
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSPremiumSupport-DiagnoseDiskUsageOnLinux/description](https://console.aws.amazon.com/systems-manager/documents/AWSPremiumSupport-DiagnoseDiskUsageOnLinux/description)à Systems Manager sous Documents.
1. Sélectionnez **Execute automation** (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
+ Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle IAM qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Type : `AWS::IAM::Role::Arn`
+ **InstanceId (Obligatoire) :**
+ Description : ID (obligatoire) de votre instance Amazon EC2.
+ Type : `String`
+ Autoriser le modèle : `^i-[0-9a-f]{8,17}$`
+ **VolumeExpansionUsageTrigger (Obligatoire) :**
+ Description : (Obligatoire) Utilisation minimale de l'espace de partition requis pour déclencher l'extension (en pourcentage).
+ Type : `String`
+ Autoriser le modèle : `^[0-9]{1,2}$`
+ **VolumeExpansionCapSize (Obligatoire) :**
+ Description : (Obligatoire) Taille maximale à laquelle le volume Amazon EBS sera augmenté (en GiB).
+ Type : `String`
+ Autoriser le modèle : `^[0-9]{1,4}$`
+ **VolumeExpansionGibIncrease (Obligatoire) :**
+ Description : (Obligatoire) Augmentation du volume en GiB. La plus forte augmentation nette entre `VolumeExpansionGibIncrease` et `VolumeExpansionPercentageIncrease` sera utilisée.
+ Type : `String`
+ Autoriser le modèle : `^[0-9]{1,4}$`
+ **VolumeExpansionPercentageIncrease (Obligatoire) :**
+ Description : (Obligatoire) Augmentation en pourcentage du volume. La plus forte augmentation nette entre `VolumeExpansionGibIncrease` et `VolumeExpansionPercentageIncrease` sera utilisée.
+ Type : `String`
+ Autoriser le modèle : `^[0-9]{1,2}$`
1. Sélectionnez **Exécuter**.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **AssertInstanceIsManagedInstance**:
Vérifie si l'instance cible est gérée par Systems Manager.
+ **DescribeInstance**:
Décrit l'instance Amazon EC2 cible et récupère les détails de l'instance, notamment, `Platform` et. `RootDeviceType`
+ **BranchOnPlatform**:
Branche sur le type de plate-forme et procède à l'exécution s'il est différent de Windows.
+ **DescribeVolumes**:
Récupère les volumes utilisés par l'instance Amazon EC2.
+ **RunPreChecksOnLinux**:
Effectuez les vérifications par rapport aux volumes collectés à l'étape précédente.
1. Une fois terminé, consultez la section **Sorties** pour connaître les résultats détaillés de l'exécution.
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSPremiumSupport-DiagnoseDiskUsageOnLinux/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Support des flux de travail automatisés](https://aws.amazon.com/premiumsupport/technology/saw/)
# `AWSSupport-EnableWindowsEC2SerialConsole`
**Description**
Le runbook vous `AWSSupport-EnableWindowsEC2SerialConsole` permet d'activer la console série Amazon EC2, la console d'administration spéciale (SAC) et le menu de démarrage sur votre instance Windows Amazon EC2. Grâce à la fonctionnalité de console série Amazon Elastic Compute Cloud (Amazon EC2), vous avez accès au port série de votre instance Amazon EC2 pour résoudre les problèmes de démarrage, de configuration réseau et autres. Le runbook automatise les étapes nécessaires pour activer la fonctionnalité sur les instances en cours d'exécution et gérées par AWS Systems Manager, ainsi que sur celles en état arrêté ou non gérées par. AWS Systems Manager
**Fonctionnement**
Le manuel `AWSSupport-EnableWindowsEC2SerialConsole` d'automatisation permet d'activer le SAC et le menu de démarrage sur les instances Amazon EC2 exécutant Microsoft Windows Server. Pour les instances en cours d'exécution et gérées par AWS Systems Manager, le runbook exécute un PowerShell script AWS Systems Manager Run Command pour activer le SAC et le menu de démarrage. Pour les instances à l'état arrêté ou non gérées par AWS Systems Manager, le runbook utilise le [AWSSupport-StartEC2 RescueWorkflow](https://docs.aws.amazon.com//systems-manager-automation-runbooks/latest/userguide/automation-awssupport-startec2rescueworkflow.html) pour créer une instance Amazon EC2 temporaire afin d'effectuer les modifications requises hors ligne.
Pour plus d'informations, consultez la [console série Amazon EC2 pour les instances Windows](https://docs.aws.amazon.com//AWSEC2/latest/WindowsGuide/ec2-serial-console.html).
**Important**
Si vous activez le SAC sur une instance, les services Amazon EC2 qui reposent sur la récupération du mot de passe ne fonctionneront pas depuis la console Amazon EC2. Pour plus d’informations, consultez [Utilisation de SAC pour dépanner votre instance Windows](https://docs.aws.amazon.com//AWSEC2/latest/WindowsGuide/troubleshooting-sac.html).
Pour configurer l'accès à la console série, vous devez accorder l'accès à la console série au niveau du compte, puis configurer des politiques Gestion des identités et des accès AWS (IAM) pour accorder l'accès à vos utilisateurs. Vous devez également configurer un utilisateur avec mot de passe sur chaque instance afin que vos utilisateurs puissent utiliser la console série pour le dépannage. Pour plus d'informations, consultez [Configurer l'accès à la console série Amazon EC2](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/configure-access-to-serial-console.html).
Pour savoir si la console série est activée sur votre compte, voir [Afficher le statut d'accès du compte à la console série.](https://docs.aws.amazon.com//AWSEC2/latest/WindowsGuide/configure-access-to-serial-console.html#sc-view-account-access)
L'accès à la console série n'est pris en charge que sur les instances virtualisées basées sur le système [Nitro](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/instance-types.html#nitro-instance-types).
[Pour plus d'informations, consultez les prérequis relatifs à la console série Amazon EC2.](https://docs.aws.amazon.com//AWSEC2/latest/WindowsGuide/ec2-serial-console-prerequisites.html)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Windows
**Paramètres**
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingInstances",
"ec2:GetSerialConsoleAccessStatus",
"ec2:Describe*",
"ec2:createTags",
"ec2:createImage",
"ssm:DescribeAutomationExecutions",
"ssm:DescribeInstanceInformation",
"ssm:GetAutomationExecution",
"ssm:ListCommandInvocations",
"ssm:ListCommands"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume",
"ec2:ModifyInstanceAttribute",
"ec2:RebootInstances",
"ec2:StartInstances",
"ec2:StopInstances",
"iam:GetInstanceProfile",
"ssm:GetParameters",
"ssm:SendCommand",
"ssm:StartAutomationExecution"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
"arn:aws:ec2:us-east-1:111122223333:volume/vol-049df61146EXAMPLE",
"arn:aws:iam::111122223333:instance-profile/instance-profile-name",
"arn:aws:ssm:us-east-1:111122223333:parameter/aws/service/*",
"arn:aws:ssm:us-east-1:*:document/AWSSupport-StartEC2RescueWorkflow",
"arn:aws:ssm:us-east-1:*:document/AWS-ConfigureAWSPackage",
"arn:aws:ssm:us-east-1:*:document/AWS-RunPowerShellScript",
"arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
]
},
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:RequestTag/Name": "AWSSupport-EC2Rescue: *"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"AWSSupport-EC2Rescue-AutomationExecution",
"Name"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"cloudformation:DeleteStack",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStackResource",
"cloudformation:DescribeStacks",
"ec2:AttachVolume",
"ec2:DetachVolume",
"ec2:RebootInstances",
"ec2:StopInstances",
"ec2:TerminateInstances",
"ssm:SendCommand"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/Name": "AWSSupport-EC2Rescue: *"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateLaunchTemplate",
"ec2:DeleteLaunchTemplate",
"ec2:RunInstances"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"cloudformation.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ssm.amazonaws.com",
"ec2.amazonaws.com"
]
}
}
}
]
}
```
------
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez au `AWSSupport-EnableWindowsEC2SerialConsole` dans la AWS Systems Manager console.
1. Sélectionnez Execute automation (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **InstanceId: (Obligatoire)**
L'ID de l'instance Amazon EC2 sur laquelle vous souhaitez activer la console série Amazon EC2 (SAC) et le menu de démarrage.
+ **AutomationAssumeRole: (Facultatif)**
L'Amazon Resource Name (ARN) du rôle IAM qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **HelperInstanceType: (Conditionnel)**
Type d'instance Amazon EC2 que le runbook fournit pour configurer la console série Amazon EC2 pour une instance hors ligne.
+ **HelperInstanceProfileName: (Conditionnel)**
Nom d'un profil d'instance IAM existant pour l'instance d'assistance. Si vous activez le SAC et le menu de démarrage sur une instance arrêtée ou non gérée par AWS Systems Manager, cela est obligatoire. Si aucun profil d'instance IAM n'est spécifié, l'automatisation en crée un en votre nom.
+ **SubnetId: (Conditionnel)**
ID de sous-réseau pour une instance d'assistance. Par défaut, il utilise le même sous-réseau que celui où réside l'instance fournie.
**Important**
Si vous fournissez un sous-réseau personnalisé, il doit se trouver dans la même zone de disponibilité que InstanceId les points de terminaison de Systems Manager et autoriser l'accès à ceux-ci. Cela n'est nécessaire que si l'instance cible est à l'état arrêté ou n'est pas gérée par AWS Systems Manager.
+ **CreateInstanceBackupBeforeScriptExecution: (Facultatif)**
Spécifiez True pour créer une sauvegarde Amazon Machine Images (AMI) de l'instance Amazon EC2 avant d'activer le SAC et le menu de démarrage. L'AMI sera conservée une fois l'automatisation terminée. Il est de votre responsabilité de sécuriser l'accès à l'AMI ou de la supprimer.
+ **BackupAmazonMachineImagePrefix: (Conditionnel)**
Préfixe pour l'Amazon Machine Image (AMI) créé si le `CreateInstanceBackupBeforeScriptExecution` paramètre est défini sur. `True`
1. Sélectionnez Exécuter.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **CheckIfEc2 SerialConsoleAccessEnabled :**
Vérifie si l'accès à la console série Amazon EC2 est activé au niveau du compte. Remarque : L'accès à la console série n'est pas disponible par défaut. Pour plus d'informations, consultez [Configurer l'accès à la console série Amazon EC2](https://docs.aws.amazon.com//AWSEC2/latest/WindowsGuide/configure-access-to-serial-console.html#sc-grant-account-access).
+ **CheckIfEc2 InstanceIsWindows :**
Indique si la plate-forme d'instance cible est Windows.
+ **GetInstanceType:**
Récupère le type d'instance de l'instance cible.
+ CheckIfInstanceTypeIsNitro:****
Vérifie si l'hyperviseur de type d'instance est basé sur Nitro. L'accès à la console série n'est pris en charge que sur les instances virtualisées basées sur le système Nitro.
+ **CheckIfInstanceIsInAutoScalingGroup:**
Vérifie si l'instance Amazon EC2 fait partie d'un groupe Amazon EC2 Auto Scaling en appelant l'API. `DescribeAutoScalingInstances` Si l'instance fait partie d'un groupe Amazon EC2 Auto Scaling, cela garantit que l'assistant de portage pour l'instance .NET est en état de veille.
+ **WaitForEc2 InstanceStateStablized :**
Attend que l'instance soit en cours d'exécution ou arrêtée.
+ **GetEc2 InstanceState :**
Obtient l'état actuel de l'instance.
+ **BranchOnEc2 InstanceState :**
Branches basées sur l'état de l'instance récupéré à l'étape précédente. Si cet état d'instance est en cours d'exécution, il passe à l'`CheckIfEc2InstanceIsManagedBySSM`étape et sinon, il passe à l'`CheckIfHelperInstanceProfileIsProvided`étape.
+ **CheckIfEc2 InstanceIsManagedBy SMS :**
Vérifie si l'instance est gérée par AWS Systems Manager. S'il est géré, le runbook active le SAC et le menu de démarrage à l'aide d'une commande d' PowerShell exécution.
+ **BranchOnPreEC2RescueBackup:**
Branches basées sur le paramètre `CreateInstanceBackupBeforeScriptExecution` d'entrée.
+ **CreateAmazonMachineImageBackup:**
Crée une sauvegarde AMI de l'instance.
+ **Activez SACAnd BootMenu :**
Active le SAC et le menu de démarrage en exécutant un script PowerShell Run Command.
+ **RebootInstance:**
Redémarre l'instance Amazon EC2 pour appliquer la configuration. Il s'agit de la dernière étape si l'instance est en ligne et est gérée par AWS Systems Manager.
+ **CheckIfHelperInstanceProfileIsProvided:**
Vérifie si le paramètre `HelperInstanceProfileName` spécifié existe avant d'activer le SAC et le menu de démarrage hors ligne à l'aide d'une instance Amazon EC2 temporaire.
+ **RunAutomationToInjectOfflineScriptForEnablingSACAndBootMenu:**
Exécute le menu `AWSSupport-StartEC2RescueWorkflow` pour activer le SAC et le menu de démarrage lorsque l'instance est arrêtée ou n'est pas gérée par AWS Systems Manager.
+ **GetExecutionDetails:**
Récupère l'ID d'image de la sauvegarde et de la sortie du script hors ligne.
1. Une fois terminé, consultez la section Sorties pour obtenir les résultats détaillés de l'exécution :
+ **Activez SACAnd BootMenu .Output :**
Résultat de l'exécution de la commande dans l'`EnableSACAndBootMenu`étape.
+ **GetExecutionDetails.OfflineScriptOutput:**
Sortie du script hors ligne exécuté à l'`RunAutomationToInjectOfflineScriptForEnablingSACAndBootMenu`étape.
+ **GetExecutionDetails.BackupBeforeScriptExecution:**
ID d'image de la sauvegarde AMI prise si le paramètre `CreateInstanceBackupBeforeScriptExecution` d'entrée est True.
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-EnableWindowsEC2SerialConsole)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
# `AWSPremiumSupport-ExtendVolumesOnWindows`
**Description**
Le `AWSPremiumSupport-ExtendVolumesOnWindows` runbook étend les volumes Amazon Elastic Block Store (Amazon EBS), leurs partitions et leurs systèmes de fichiers sur une instance Amazon Elastic Compute Cloud (Amazon EC2) cible.
**Considérations importantes**
**Impact sur le fonctionnement et états du volume** : les modifications du volume Amazon EBS se déroulent en trois phases : `modifying``optimizing`, et`completed`. Cette automatisation se poursuit avec l'extension du système de fichiers lorsque le volume atteint `optimizing` cet état. Au cours de `optimizing` cet état, vous pouvez rencontrer un impact temporaire sur les performances et des perturbations potentielles au niveau du système de fichiers lors du redimensionnement de la partition. Vous pouvez [suivre la progression des modifications des volumes Amazon EBS](https://docs.aws.amazon.com//ebs/latest/userguide/monitoring-volume-modifications.html).
**Coût et limites** : l'augmentation de la taille d'un volume Amazon EBS entraîne une augmentation des coûts de stockage mensuels. Pour plus d'informations, consultez les [tarifs Amazon EBS](https://aws.amazon.com/ebs/pricing). L'AMI de sauvegarde et les instantanés associés créés par ce runbook entraîneront des frais supplémentaires en fonction de leur taille et de la durée pendant laquelle vous les conservez. Pour certains types de volumes, si vous devez conserver le même ratio d'IOPS par Go après l'extension, vous devrez peut-être modifier les IOPS provisionnées.
**Sauvegarde et restauration** : le runbook crée une AMI de sauvegarde avant d'apporter des modifications aux volumes. L'AMI et les instantanés associés ne sont pas automatiquement supprimés de votre compte. Vous devez supprimer manuellement ces sauvegardes si elles ne sont plus nécessaires. En cas de panne, les volumes peuvent être restaurés à partir des instantanés de l'AMI associée, comme décrit dans [Remplacer un volume Amazon EBS à l'aide d'un](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ebs-restoring-volume.html) instantané.
**Fonctionnement**
Ce runbook effectue les opérations suivantes :
+ Vérifie que l'instance cible est gérée par Systems Manager et exécute Windows Server
+ Garantit qu'il n'y a qu'une seule exécution de ce runbook ciblant l'instance Amazon EC2 actuelle
+ Crée une Amazon Machine Image (AMI) de sauvegarde à partir de l'instance cible
+ Étend les volumes Amazon EBS spécifiés pour l'extension
+ Étend les systèmes de fichiers de l'instance cible à l'aide de commandes PowerShell
**Important**
L'accès aux `AWSPremiumSupport-*` runbooks nécessite un abonnement Business \$1 Support, Enterprise Support ou Unified Operations. Pour plus d'informations, consultez la section [Comparer AWS Support les forfaits](https://aws.amazon.com/premiumsupport/plans/).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-ExtendVolumesOnWindows)
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:DescribeInstances`
+ `ec2:CreateImage`
+ `ec2:DescribeImages`
+ `ec2:DescribeVolumes`
+ `ec2:ModifyVolume`
+ `ssm:SendCommand`
+ `ssm:ListCommandInvocations`
+ `ssm:DescribeInstanceInformation`
Exemple de politique IAM :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:CreateImage",
"ec2:DescribeImages",
"ec2:DescribeVolumes",
"ec2:ModifyVolume",
"ssm:SendCommand",
"ssm:DescribeInstanceInformation",
"ssm:ListCommandInvocations"
],
"Resource": "*"
}
]
}
```
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSPremiumSupport-ExtendVolumesOnWindows/description](https://console.aws.amazon.com/systems-manager/documents/AWSPremiumSupport-ExtendVolumesOnWindows/description)à Systems Manager sous Documents.
1. Sélectionnez **Execute automation** (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
+ Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle IAM qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Type : `AWS::IAM::Role::Arn`
+ **InstanceId (Obligatoire) :**
+ Description : (Obligatoire) ID de l'instance Amazon EC2.
+ Type : `String`
+ Autoriser le modèle : `^i-[0-9a-f]{8,17}$`
+ **VolumeExpansionCapSize (Obligatoire) :**
+ Description : (Obligatoire) Taille maximale (en GiB) à laquelle les volumes Amazon EBS seront augmentés.
+ Type : `String`
+ Autoriser le modèle : `^[0-9]{1,4}$`
+ **DiagnosticResults (Obligatoire) :**
+ Description : (Obligatoire) Les résultats du script de prévérifications provenant du `DiagnoseDiskUsage` document, au format CSV d'une ligne. La chaîne commence `EXTEND;` par des informations de volume séparées par des virgules pour chaque volume, les volumes étant séparés par des points-virgules. Les informations de chaque volume incluent : l'identifiant du volume, la lettre du lecteur, l'indicateur d'extension (1 pour étendre, 0 pour ignorer), la nouvelle taille en Go, AWS la région et le raison/l'action.
+ Type : `String`
+ Autoriser le modèle : `^EXTEND;[0-9a-zA-Z\\.;_%:\\-\/,\\s]{7,5400}$`
1. Sélectionnez **Exécuter**.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **AssertInstanceIsManagedInstance**:
Vérifie que l'instance cible est gérée par Systems Manager.
+ **DescribeInstance**:
Récupère les informations de plate-forme de l'instance Amazon EC2 cible.
+ **BranchOnPlatform**:
Confirme que la plate-forme d'instance Amazon EC2 cible est Windows Server.
+ **CheckConcurrency**:
Garantit qu'il n'y a qu'une seule exécution de ce runbook ciblant l'instance Amazon EC2 actuelle.
+ **CreateImage**:
Crée une Amazon Machine Image (AMI) de sauvegarde à partir de l'instance cible.
+ **WaitUntilImageReady**:
Attend que la création de l'Amazon Machine Image (AMI) soit terminée et atteigne l'`available`état requis.
+ **Étendre EBSVolume** :
Étend les volumes Amazon EBS de l'instance cible spécifiés pour l'extension.
+ **DescribeVolumes**:
Décrit les volumes Amazon EBS de l'instance cible qui ont été spécifiés pour l'extension.
+ **ExtendFilesystem**:
Étend les systèmes de fichiers de l'instance cible à l'aide PowerShell de commandes.
1. Une fois l'exécution terminée, consultez la section **Sorties** pour connaître les résultats détaillés de l'exécution.
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSPremiumSupport-ExtendVolumesOnWindows/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Support des flux de travail automatisés](https://aws.amazon.com/premiumsupport/technology/saw/)
+ [Demander des modifications de volume Amazon EBS](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/requesting-ebs-volume-modifications.html)
# `AWSSupport-ExecuteEC2Rescue`
**Description**
Ce runbook utilise le EC2Rescue outil pour résoudre et, si possible, réparer les problèmes de connectivité courants avec l'instance Amazon Elastic Compute Cloud (Amazon EC2) spécifiée pour Linux ou Windows Server. Les instances dont les volumes racine sont chiffrés ne sont pas prises en charge.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ExecuteEC2Rescue)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ EC2RescueInstanceType
Type : String
Valeurs valides : t2.small \$1 t2.medium \$1 t2.large
Par défaut : t2.small
Description : (Obligatoire) Le type d' EC2 instance pour le EC2Rescue instance. Taille recommandée : `t2.small`
+ LogDestination
Type : String
Description : (Facultatif) Nom du compartiment Amazon S3 dans votre compte où vous souhaitez télécharger les journaux de dépannage. Assurez-vous que la stratégie de compartiment n'accorde pas des autorisations en lecture/écriture superflues pour les tiers qui n'ont pas besoin d'accéder aux journaux collectés.
+ SubnetId
Type : String
Par défaut : CreateNew VPC
Description : (Facultatif) L'ID de sous-réseau pour le EC2Rescue instance. Par défaut, AWS Systems Manager Automation crée un nouveau VPC. Vous pouvez également `SelectedInstanceSubnet` utiliser le même sous-réseau que votre instance ou spécifier un ID de sous-réseau personnalisé. ``
**Important**
Le sous-réseau doit se trouver dans la même zone de disponibilité que`UnreachableInstanceId`, et il doit autoriser l'accès aux points de terminaison SSM.
+ UnreachableInstanceId
Type : String
Description : ID (obligatoire) de votre EC2 instance inaccessible.
**Important**
Systems Manager Automation arrête cette instance et crée une AMI avant toute tentative d'opération. Les données stockées sur les volumes de stockage d'instance seront perdues. L'adresse IP publique changera si vous n'utilisez pas d'adresse IP élastique.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
Vous devez au moins avoir `ssm:StartAutomationExecution` et `ssm:GetAutomationExecution` pouvoir lire la sortie d'automatisation. Pour plus d'informations sur les autorisations requises, consultez [`AWSSupport-StartEC2RescueWorkflow`](automation-awssupport-startec2rescueworkflow.md).
**Étapes de document**
1. `aws:assertAwsResourceProperty`- Affirme si l'instance fournie est Windows Server:
1. (EC2Rescue for Windows Server) Si l'instance fournie est une Windows Server exemple :
1. `aws:executeAutomation`- Invoque `AWSSupport-StartEC2RescueWorkflow` avec le EC2 Rescue pour Windows Server script hors ligne.
1. `aws:executeAwsApi`- Récupère l'ID de l'AMI de sauvegarde à partir de l'automatisation imbriquée.
1. `aws:executeAwsApi`- Récupère le résumé du EC2 sauvetage à partir de l'automatisation imbriquée.
1. (EC2Rescue pour Linux) Si l'instance fournie est une instance Linux :
1. `aws:executeAutomation`- Invoque `AWSSupport-StartEC2RescueWorkflow` des scripts hors ligne EC2 Rescue for Linux
1. `aws:executeAwsApi`- Récupère l'ID de l'AMI de sauvegarde à partir de l'automatisation imbriquée.
1. `aws:executeAwsApi`- Récupère le résumé du EC2 sauvetage à partir de l'automatisation imbriquée.
**Sorties**
`getEC2RescueForWindowsResult.Output`
`getWindowsBackupAmi.ImageId`
`getEC2RescueForLinuxResult.Output`
`getLinuxBackupAmi.ImageId`
# `AWSSupport-ListEC2Resources`
**Description**
Le `AWSSupport-ListEC2Resources` runbook renvoie des informations sur les EC2 instances Amazon et les ressources associées, telles que les volumes Amazon Elastic Block Store (Amazon EBS), les adresses IP Elastic et les groupes Amazon EC2 Auto Scaling, à partir des informations que vous spécifiez. Régions AWS Par défaut, les informations sont collectées dans toutes les régions et sont affichées dans le résultat de l'automatisation. Vous pouvez éventuellement spécifier un compartiment Amazon Simple Storage Service (Amazon S3) dans lequel les informations seront téléchargées sous forme de fichier de valeurs séparées par des virgules (.csv).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ListEC2Resources)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ BucketName
Type : String
Description : (Facultatif) Nom du compartiment S3 dans lequel les informations collectées sont téléchargées.
+ DisplayResourceDeletionDocumentation
Type : String
Valeur par défaut : true
Description : (Facultatif) Si ce paramètre est défini sur`true`, l'automatisation crée des liens dans la sortie vers la documentation relative à la suppression de vos ressources.
+ RegionsToQuery
Type : String
Par défaut : Tous
Description : (Facultatif) Les régions auprès desquelles vous souhaitez recueillir des informations EC2 relatives à Amazon.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `autoscaling:DescribeAutoScalingGroups`
+ `ec2:DescribeAddresses`
+ `ec2:DescribeImages`
+ `ec2:DescribeInstances`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeRegions`
+ `ec2:DescribeVolumes`
+ `ec2:DescribeSnapshots`
+ `elasticloadbalancing:DescribeLoadBalancers`
En outre, pour charger correctement les informations collectées dans le compartiment S3 que vous spécifiez, `AutomationAssumeRole` les actions suivantes sont nécessaires :
+ `s3:GetBucketAcl`
+ `s3:GetBucketPolicyStatus`
+ `s3:PutObject`
**Étapes de document**
+ `aws:executeAwsApi`- Regroupe les régions activées pour le compte.
+ `aws:executeScript`- Confirme que les régions activées pour le compte prennent en charge les régions spécifiées dans le `RegionsToQuery` paramètre.
+ `aws:branch`- Si aucune région n'est activée pour le compte, l'automatisation prend fin.
+ `aws:executeScript`- Répertorie toutes les EC2 instances du compte et des régions que vous spécifiez.
+ `aws:executeScript`- Répertorie toutes les Amazon Machine Images (AMI) pour le compte et les régions que vous spécifiez.
+ `aws:executeScript`- Répertorie tous les volumes EBS pour le compte et les régions que vous spécifiez.
+ `aws:executeScript`- Répertorie toutes les adresses IP élastiques du compte et des régions que vous spécifiez.
+ `aws:executeScript`- Répertorie toutes les interfaces réseau élastiques pour le compte et les régions que vous spécifiez.
+ `aws:executeScript`- Répertorie tous les groupes Auto Scaling pour le compte et les régions que vous spécifiez.
+ `aws:executeScript`- Répertorie tous les équilibreurs de charge pour le compte et les régions que vous spécifiez.
+ `aws:executeScript`- Télécharge les informations collectées dans le compartiment S3 spécifié si vous fournissez une valeur pour le `Bucket` paramètre.
# `AWSSupport-ManageRDPSettings`
**Description**
Le `AWSSupport-ManageRDPSettings` runbook permet à l'utilisateur de gérer les paramètres courants du protocole RDP (Remote Desktop Protocol), tels que le port RDP et l'authentification de couche réseau (NLA). Par défaut, le runbook lit et affiche les valeurs des paramètres.
**Important**
Les modifications apportées aux paramètres RDP doivent être soigneusement examinées avant d'exécuter ce runbook.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ManageRDPSettings)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : String
Description : (Obligatoire) ID de l'instance chargée de gérer les paramètres RDP.
+ NLASettingAction
Type : String
Valeurs valides : Vérifier \$1 Activer \$1 Désactiver
Par défaut : Check
Description : (Obligatoire) action à effectuer au niveau du paramètre NLA : Check, Enable, Disable.
+ RDPPort
Type : String
Valeur par défaut : 3389
Description : (Facultatif) spécifiez le nouveau port RDP. Utilisé uniquement lorsque l'action est définie sur Modify. Le numéro de port doit être compris entre 1025 et 65535. Remarque : une fois que le port est modifié, le service RDP est redémarré.
+ RDPPortAction
Type : String
Valeurs valides : Vérifier \$1 Modifier
Par défaut : Check
Description : (Obligatoire) Action à appliquer au port RDP.
+ RemoteConnections
Type : String
Valeurs valides : Vérifier \$1 Activer \$1 Désactiver
Par défaut : Check
Description : (Obligatoire) Action à effectuer sur le TSConnections paramètre FDeny.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
L' EC2 instance recevant la commande doit avoir un rôle IAM auquel est attachée la politique gérée par **SSMManagedInstanceCoreAmazon**. L'utilisateur doit avoir au moins **ssm : SendCommand** pour envoyer la commande à l'instance, plus **ssm : GetCommandInvocation** pour pouvoir lire le résultat de la commande.
**Étapes de document**
`aws:runCommand`- Exécutez le PowerShell script pour modifier ou vérifier les paramètres RDP sur l'instance cible.
**Sorties**
gérer RDPSettings .Output
# `AWSSupport-ManageWindowsService`
**Description**
Le `AWSSupport-ManageWindowsService` runbook vous permet d'arrêter, de démarrer, de redémarrer, de suspendre ou de désactiver n'importe quel service Windows sur l'instance cible.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ManageWindowsService)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : String
Description : (Obligatoire) L'ID de l'instance gérée pour gérer les services de.
+ ServiceAction
Type : String
Valeurs valides : Vérifier \$1 Redémarrer \$1 Forcer le redémarrage \$1 Démarrer \$1 Arrêter \$1 Forcer l'arrêt \$1 Pause
Par défaut : Check
Description : (Obligatoire) Action à appliquer au service Windows. Notez que `Force-Restart` et `Force-Stop` peut être utilisé pour redémarrer et arrêter un service qui possède des services dépendants.
+ StartupType
Type : String
Valeurs valides : Vérifier \$1 Auto \$1 Demande \$1 Désactivé \$1 DelayedAutoStart
Par défaut : Check
Description : (Obligatoire) Type de démarrage à appliquer au service Windows.
+ WindowsServiceName
Type : String
Description : (Obligatoire) nom de service Windows valide.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
Il est recommandé que l' EC2 instance recevant la commande ait un rôle IAM associé à la politique gérée par **SSMManagedInstanceCoreAmazon**. L'utilisateur doit avoir au moins **ssm : StartAutomationExecution** et **ssm : SendCommand** pour exécuter l'automatisation et envoyer la commande à l'instance, plus **ssm : GetAutomationExecution** pour pouvoir lire le résultat de l'automatisation.
**Étapes de document**
`aws:runCommand`- Exécutez le PowerShell script pour appliquer la configuration souhaitée au service Windows sur l'instance cible.
**Sorties**
manageWindowsService.Sortie
# `AWSSupport-MigrateEC2ClassicToVPC`
**Description**
Le `AWSSupport-MigrateEC2ClassicToVPC` runbook fait migrer une instance Amazon Elastic Compute Cloud EC2 (Amazon) de EC2 -Classic vers un cloud privé virtuel (VPC). Ce runbook prend en charge la migration des EC2 instances Amazon du type de virtualisation matérielle (HVM) avec les volumes racine Amazon Elastic Block Store (Amazon EBS).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-MigrateEC2ClassicToVPC)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ Approbation IAM
Type : StringList
Description : (Facultatif) Les noms des ressources Amazon (ARNs) des utilisateurs IAM qui peuvent approuver ou refuser l'action. Ce paramètre ne s'applique que si vous spécifiez la `CutOver` valeur du `MigrationType` paramètre.
+ DestinationSecurityGroupId
Type : StringList
Description : (Facultatif) L'ID du groupe de sécurité que vous souhaitez associer à l' EC2 instance Amazon lancée dans votre VPC. Si vous ne spécifiez aucune valeur pour ce paramètre, l'automatisation crée un groupe de sécurité dans votre VPC et copie les règles du groupe de sécurité dans EC2 -Classic. Si les règles ne sont pas copiées vers le nouveau groupe de sécurité, le groupe de sécurité par défaut de votre VPC est associé à l'instance Amazon EC2 .
+ DestinationSubnetId
Type : String
Description : (Facultatif) L'ID du sous-réseau vers lequel vous souhaitez migrer votre EC2 instance Amazon. Si vous ne spécifiez aucune valeur pour ce paramètre, l'automatisation choisit aléatoirement un sous-réseau dans votre VPC.
+ InstanceId
Type : String
Description : (Obligatoire) L'ID de l' EC2 instance Amazon que vous souhaitez migrer.
+ MigrationType
Type : String
Valeurs valides : CutOver \$1 Test
Description : (Obligatoire) Type de migration que vous souhaitez effectuer.
L'`CutOver`option nécessite une approbation pour arrêter votre EC2 instance Amazon exécutée dans EC2 -Classic. Une fois cette action approuvée, l' EC2 instance Amazon est arrêtée et l'automatisation crée un Amazon Machine Image (AMI). Lorsque le AMI le statut est`available`, une nouvelle EC2 instance Amazon est lancée à partir de ce AMI dans celui `DestinationSubnetId` que vous spécifiez dans votre VPC. Si une adresse IP élastique est attachée à votre EC2 instance Amazon exécutée dans EC2 -Classic, elle sera déplacée vers la nouvelle EC2 instance Amazon créée dans votre VPC. Si l' EC2 instance Amazon lancée dans votre VPC ne parvient pas à être créée pour une raison quelconque, elle est résiliée et une approbation est demandée pour démarrer votre EC2 instance Amazon dans EC2 -Classic.
L'`Test`option crée un AMI de votre EC2 instance Amazon qui s'exécute dans EC2 -Classic sans redémarrer. Comme l' EC2 instance Amazon ne redémarre pas, nous ne pouvons pas garantir l'intégrité du système de fichiers de l'image créée. Lorsque le AMI le statut est`available`, une nouvelle EC2 instance Amazon est lancée à partir de ce AMI dans celui `DestinationSubnetId` que vous spécifiez dans votre VPC. Si une adresse IP élastique est attachée à votre EC2 instance Amazon exécutée dans EC2 -Classic, l'automatisation vérifie que celle que `DestinationSubnetId` vous avez spécifiée est publique. Si l' EC2 instance Amazon lancée dans votre VPC ne parvient pas à être créée pour une raison quelconque, elle est interrompue et l'automatisation prend fin.
+ SNSNotificationARNforApprobation
Type : String
Description : (Facultatif) L'ARN de la rubrique Amazon Simple Notification Service (Amazon SNS) à laquelle vous souhaitez envoyer des demandes d'approbation. Ce paramètre ne s'applique que si vous spécifiez la `CutOver` valeur du `MigrationType` paramètre.
+ TargetInstanceType
Type : String
Par défaut : t2.2xlarge
Description : (Facultatif) Type d' EC2 instance Amazon que vous souhaitez lancer dans votre VPC. Seuls les types d'instances basés sur Xen, tels que T2, M4 ou C4, sont pris en charge.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:GetDocument`
+ `ssm:ListDocumentVersions`
+ `ssm:ListDocuments`
+ `ssm:StartAutomationExecution`
+ `sns:GetTopicAttributes`
+ `sns:ListSubscriptions`
+ `sns:ListTopics`
+ `sns:Publish`
+ `ec2:AssociateAddress`
+ `ec2:AuthorizeSecurityGroupIngress`
+ `ec2:CreateImage`
+ `ec2:CreateSecurityGroup`
+ `ec2:DeleteSecurityGroup`
+ `ec2:MoveAddressToVpc`
+ `ec2:RunInstances`
+ `ec2:StopInstances`
+ `ec2:CreateTags`
+ `ec2:DescribeAddresses`
+ `ec2:DescribeInstanceAttribute`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceStatus`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeSecurityGroupReferences`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeTags`
+ `ec2:DescribeVpcs`
+ `ec2:DescribeInstanceTypes`
+ `ec2:DescribeImages`
**Étapes de document**
+ `aws:executeAwsApi`- Recueille des informations sur l' EC2 instance Amazon que vous spécifiez dans le `InstanceId` paramètre.
+ `aws:assertAwsResourceProperty`- Confirme que le type d'instance que vous spécifiez dans le `TargetInstanceType` paramètre est basé sur Xen.
+ `aws:assertAwsResourceProperty`- Confirme que l' EC2 instance Amazon que vous spécifiez dans le `InstanceId` paramètre est du type de virtualisation HVM.
+ `aws:assertAwsResourceProperty`- Confirme que l' EC2 instance Amazon que vous spécifiez dans le `InstanceId` paramètre possède un volume racine Amazon EBS.
+ `aws:executeScript`- Crée un groupe de sécurité selon les besoins en fonction de la valeur que vous spécifiez pour le `DestinationSecurityGroupId` paramètre.
+ `aws:branch`- Branches basées sur la valeur que vous spécifiez dans le `DestinationSubnetId` paramètre.
+ `aws:executeAwsApi`- Identifie le VPC par défaut dans Région AWS lequel vous exécutez cette automatisation.
+ `aws:executeAwsApi`- Choisit aléatoirement l'ID d'un sous-réseau situé dans le VPC par défaut.
+ `aws:createImage`- Crée un AMI sans redémarrer l'instance Amazon EC2.
+ `aws:branch`- Branches basées sur la valeur que vous spécifiez pour le `MigrationType` paramètre.
+ `aws:branch`- Branches basées sur la valeur que vous spécifiez pour le `DestinationSubnetId` paramètre.
+ `aws:runInstances`- Lance une nouvelle instance depuis AMI créé sans redémarrer l' EC2 instance Amazon dans EC2 -Classic.
+ `aws:changeInstanceState`- Résout l' EC2instance Amazon nouvellement lancée si l'étape précédente échoue pour une raison quelconque.
+ `aws:runInstances`- Lance une nouvelle instance depuis AMI créé sans redémarrer l' EC2 instance Amazon dans EC2 -Classic dans le cas où il est fourni. `DestinationSubnetId`
+ `aws:changeInstanceState`- Résout l' EC2instance Amazon nouvellement lancée si l'étape précédente échoue pour une raison quelconque.
+ `aws:assertAwsResourceProperty`- Confirme le comportement d'arrêt de l' EC2 instance Amazon exécutée dans EC2 -Classic.
+ `aws:approve`- Attend l'approbation pour arrêter l' EC2 instance Amazon.
+ `aws:changeInstanceState`- Arrête l'exécution de l' EC2 instance Amazon dans EC2 -Classic.
+ `aws:changeInstanceState`- Force arrête l'exécution de l' EC2 instance Amazon dans EC2 -Classic si nécessaire.
+ `aws:createImage`- Crée un AMI de l' EC2 instance Amazon après son arrêt.
+ `aws:branch`- Branches basées sur la valeur spécifiée pour le `DestinationSubnetId` paramètre.
+ `aws:runInstances`- Lance une nouvelle instance depuis AMI créé à partir de l' EC2 instance Amazon arrêtée dans EC2 -Classic.
+ `aws:approve`- Attend l'approbation pour mettre fin à l'instance nouvellement lancée et démarre l' EC2 instance Amazon dans EC2 -Classic si l'étape précédente échoue pour une raison quelconque.
+ `aws:changeInstanceState`- Met fin à l' EC2instance Amazon récemment lancée.
+ `aws:runInstances`- Lance une nouvelle instance depuis AMI créé de l' EC2 instance Amazon arrêtée dans EC2 -Classic à partir du `DestinationSubnetId` paramètre.
+ `aws:approve`- Attend l'approbation pour mettre fin à l'instance nouvellement lancée et démarre l' EC2 instance Amazon dans EC2 -Classic si l'étape précédente échoue pour une raison quelconque.
+ `aws:changeInstanceState`- Met fin à l' EC2instance Amazon récemment lancée.
+ `aws:changeInstanceState`- Démarre l' EC2 instance Amazon qui a été arrêtée dans EC2 -Classic.
+ `aws:branch`- Branches selon que l' EC2 instance Amazon possède ou non une adresse IP publique.
+ `aws:executeAwsApi`- Vérifie si l'adresse IP publique est une adresse IP élastique.
+ `aws:branch`- Branches basées sur la valeur que vous spécifiez dans le `MigrationType` paramètre.
+ `aws:executeAwsApi`- Déplace l'adresse IP Elastic vers votre VPC.
+ `aws:executeAwsApi`- Recueille l'ID d'allocation de l'adresse IP élastique qui a été déplacée vers votre VPC.
+ `aws:branch`- Branches basées sur le sous-réseau sur lequel l' EC2 instance Amazon exécutée dans votre VPC a été lancée.
+ `aws:executeAwsApi`- Attache l'adresse IP Elastic à la nouvelle instance lancée dans votre VPC.
+ `aws:executeScript`- Confirme que le sous-réseau que votre EC2 instance Amazon récemment lancée exécute dans votre VPC est public.
**Sorties**
g `etInstanceProperties.virtualizationType` - Le type de virtualisation de l' EC2 instance Amazon exécutée dans EC2 -Classic.
`getInstanceProperties.rootDeviceType`- Le type de périphérique racine de l' EC2instance Amazon exécutée dans EC2 -Classic.
`createAMIWithoutReboot.ImageId`- L'identifiant du AMI créé sans redémarrer l' EC2 instance Amazon exécutée dans EC2 -Classic.
`getDefaultVPC.VpcId`- L'ID du VPC par défaut sur lequel la nouvelle EC2 instance Amazon est lancée si aucune valeur pour le `DestinationSubnetId` paramètre n'est fournie.
`getSubnetIdinDefaultVPC.subnetIdFromDefaultVpc`- L'ID du sous-réseau dans le VPC par défaut où la nouvelle instance EC2 Amazon est lancée si aucune valeur pour `DestinationSubnetId` le paramètre n'est fournie.
`launchTestInstanceDefaultVPC.InstanceIds`- L'ID de l' EC2instance Amazon récemment lancée dans votre VPC par défaut lors du type de `Test` migration.
`launchTestInstanceProvidedSubnet.InstanceIds`- L'ID de l' EC2 instance Amazon récemment lancée est celui `DestinationSubnetId` que vous avez spécifié lors du type de `Test` migration.
`createAMIAfterStoppingInstance.ImageId`- L'identifiant du AMI créé après l'arrêt de l'exécution de l' EC2 instance Amazon dans EC2 -Classic.
`launchCutOverInstanceProvidedSubnet.InstanceIds`- L'ID de l' EC2 instance Amazon récemment lancée est celui `DestinationSubnetId` que vous avez spécifié lors du type de `CutOver` migration.
`launchCutOverInstanceDefaultVPC.InstanceIds`- L'ID de l' EC2 instance Amazon récemment lancée dans votre VPC par défaut lors du type de `CutOver` migration.
`verifySubnetIsPublicTestDefaultVPC.IsSubnetPublic`- Si le sous-réseau choisi par l'automatisation dans votre VPC par défaut est public.
`verifySubnetIsPublicTestProvidedSubnet.IsSubnetPublic`- Si le sous-réseau que vous avez spécifié dans le `DestinationSubnetId` est public.
# `AWSSupport-MigrateXenToNitroLinux`
**Description**
Le `AWSSupport-MigrateXenToNitroLinux` runbook clone, prépare et migre une instance Linux Xen d'Amazon Elastic Compute Cloud (Amazon EC2) vers un [Nitro type d'instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#ec2-nitro-instances). Ce runbook propose deux options pour les types d'opérations :
+ `Clone&Migrate`— Le flux de travail de cette option comprend les **vérifications préliminaires**, **les tests** et **Clone&Migrate**phases. Le flux de travail est exécuté à l'aide du `AWSSupport-CloneXenEC2InstanceAndMigrateToNitro` runbook.
+ `FullMigration`— Cette option exécute le `Clone&Migrate` flux de travail, puis exécute l'étape supplémentaire consistant à **remplacer les volumes Amazon EBS racines**.
**Important**
L'utilisation de ce runbook entraîne des frais pour votre compte liés à la durée de fonctionnement des EC2 instances Amazon, à la création de volumes Amazon Elastic Block Store (Amazon EBS) et AMIs. Pour plus de détails, consultez les rubriques [Amazon EC2 Pricing](https://aws.amazon.com/ec2/pricing/) et [Amazon EBS Pricing](https://aws.amazon.com/ebs/pricing/).
**Contrôles préliminaires**
L'automatisation effectue les vérifications préliminaires suivantes avant de poursuivre la migration. Si l'une des vérifications échoue, l'automatisation prend fin. Cette phase ne constitue qu'une partie du `Clone&Migrate` flux de travail.
+ Vérifie si l'instance cible est déjà une Nitro type d'instance.
+ Vérifie si l'option d'achat d'instances Spot a été utilisée pour l'instance cible.
+ Vérifie si des volumes de stockage d'instance sont attachés à l'instance cible.
+ Vérifie que le système d'exploitation (OS) de l'instance cible est Linux.
+ Vérifie si l'instance cible fait partie d'un groupe Amazon EC2 Auto Scaling. Si elle fait partie d'un groupe Auto Scaling, l'automatisation vérifie que l'instance est en bon `standby` état.
+ Vérifie que l'instance est gérée par AWS Systems Manager.
**Test**
L'automatisation crée un Amazon Machine Image (AMI) depuis l'instance cible et lance une instance de test à partir de l'instance nouvellement créée AMI. Cette phase fait uniquement partie du `Clone&Migrate` flux de travail.
Si l'instance de test passe toutes les vérifications de statut, l'automatisation s'interrompt et l'approbation des responsables désignés est demandée par le biais de la notification Amazon Simple Notification Service (Amazon SNS). Si l'approbation est fournie, l'automatisation met fin à l'instance de test, arrête l'instance cible et poursuit la migration, tandis que le nouveau AMI est désenregistré à la fin du flux de travail. `Clone&Migrate`
**Note**
Avant de fournir une approbation, nous vous recommandons de vérifier que toutes les applications exécutées sur l'instance cible ont été fermées correctement.
**Cloner et migrer**
L'automatisation en crée une autre AMI depuis l'instance cible, et lance une nouvelle instance pour passer à une Nitro type d'instance. L'automatisation remplit les conditions préalables suivantes avant de poursuivre la migration. Si l'une des vérifications échoue, l'automatisation prend fin. Cette phase ne constitue également qu'une partie du `Clone&Migrate` flux de travail.
+ Active l'attribut Enhanced Networking (ENA).
+ Installe la dernière version des pilotes ENA s'ils ne sont pas déjà installés, ou met à jour la version des pilotes ENA vers la dernière version. Pour garantir des performances réseau optimales, la mise à jour vers la dernière version du pilote ENA est requise si Nitro le type d'instance est la 6e génération.
+ Vérifie que le NVMe module est installé. Si le module est installé, l'automatisation vérifie qu'il est chargé. `initramfs`
+ Analyse `/etc/fstab` et remplace les entrées par des noms de périphériques de blocage (`/dev/sd*`ou`/dev/xvd*`) par leurs noms respectifs UUIDs. Avant de modifier la configuration, l'automatisation crée une sauvegarde du fichier sur le chemin`/etc/fstab*`.
+ Désactive la dénomination prévisible des interfaces en ajoutant l'`net.ifnames=0`option à la `GRUB_CMDLINE_LINUX` ligne du `/etc/default/grub` fichier si elle existe, ou au noyau dans`/boot/grub/menu.lst`.
+ Supprime le `/etc/udev/rules.d/70-persistent-net.rules` fichier s'il existe. Avant de supprimer le fichier, l'automatisation crée une sauvegarde du fichier sur le chemin`/etc/udev/rules.d/`.
Après avoir vérifié toutes les exigences, le type d'instance est remplacé par Nitro type d'instance que vous spécifiez. L'automatisation attend que l'instance nouvellement créée passe toutes les vérifications de statut après avoir démarré en tant que Nitro type d'instance. L'automatisation attend ensuite l'approbation des responsables désignés pour créer un AMI du lancement réussi Nitro instance. Si l'approbation est refusée, l'automatisation prend fin, laissant l'instance nouvellement créée en cours d'exécution, et l'instance cible reste arrêtée.
**Remplacer le volume Amazon EBS racine**
Si vous `FullMigration` le souhaitez`OperationType`, l'automatisation migre l' EC2 instance Amazon cible vers le Nitro type d'instance que vous spécifiez. Automation demande l'approbation des principaux désignés pour remplacer le volume Amazon EBS racine de l' EC2 instance Amazon cible par le volume racine de l'instance EC2 Amazon clonée. Une fois la migration réussie, l' EC2 instance Amazon clonée est arrêtée. Si l'automatisation échoue, le volume racine Amazon EBS d'origine est attaché à l' EC2 instance Amazon cible. Si le volume Amazon EBS racine attaché à l' EC2 instance Amazon cible possède des balises auxquelles le `aws:` préfixe est appliqué, l'`FullMigration`opération n'est pas prise en charge.
**Avant de commencer**
L'instance cible doit disposer d'un accès Internet sortant. Il s'agit d'accéder à des référentiels pour les pilotes et les dépendances tels que kernel-devel, gcc, patch, rpm-build, wget, dracut, make, linux-headers, et unzip. Le gestionnaire de packages est utilisé si nécessaire.
Une rubrique Amazon SNS est requise pour envoyer des notifications pour les approbations et les mises à jour. Pour plus d'informations sur la création d'une rubrique Amazon SNS, consultez la rubrique [Création d'une rubrique Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) dans le manuel du développeur *Amazon Simple Notification Service*.
Ce runbook est compatible avec les systèmes d'exploitation suivants :
+ RHEL 7,x - 8,5
+ Amazon Linux (03/2018), Amazon Linux 2
+ Debian Server
+ Ubuntu Server 18.04 LTS, 20.04 LTS et 20.10 STR
+ SUSE Linux Enterprise Server (SUSE12SP5, SUSE15SP2)
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-MigrateXenToNitroLinux)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Reconnaissance
Type : String
Description : (Obligatoire) Lisez le détail complet des actions effectuées par ce runbook d'automatisation, puis entrez **Yes, I understand and acknowledge** pour continuer à utiliser le runbook.
+ Approbation IAM
Type : String
Description : (Obligatoire) Les ARNs rôles, utilisateurs ou noms d'utilisateur IAM qui peuvent fournir des approbations pour l'automatisation. Vous pouvez spécifier un maximum de 10 approbateurs.
+ DeleteResourcesOnFailure
Type : booléen
Description : (Facultatif) Détermine si l'instance nouvellement créée et AMI pour la migration sont supprimés en cas d'échec de l'automatisation.
Valeurs valides : Vrai \$1 Faux
Valeur par défaut : True
+ MinimumRequiredApprovals
Type : String
Description : (Facultatif) Le nombre minimum d'approbations requises pour continuer à exécuter l'automatisation lorsque des approbations sont demandées.
Valeurs valides : 1 à 10
Valeur par défaut : 1
+ NitroInstanceType
Type : String
Description : (Obligatoire) Le Nitro type d'instance auquel vous souhaitez remplacer l'instance. Les types d'instances pris en charge incluent M5, M6, C5, C6, R5, R6 et T3.
Par défaut : m5.xlarge
+ OperationType
Type : String
Description : (Obligatoire) Opération que vous souhaitez effectuer. L'`FullMigration`option exécute les mêmes tâches que le volume racine de votre instance cible `Clone&Migrate` et le remplace également. Le volume racine de l'instance cible est remplacé par le volume racine de l'instance nouvellement créée à la suite du processus de migration. L'`FullMigration`opération ne prend pas en charge les volumes racines définis par Logical Volume Manager (LVM).
Valeurs valides : Clone&Migrate \$1 FullMigration
+ SNSTopicArn
Type : String
Description : (Obligatoire) L'ARN de la rubrique Amazon SNS pour la notification d'approbation. La rubrique Amazon SNS est utilisée pour envoyer les notifications d'approbation requises lors de l'automatisation.
+ TargetInstanceId
Type : String
Description : (Obligatoire) L'ID des EC2 instances Amazon à migrer.
## Clone&Migrate flux de travail
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:DescribeAutomationExecutions`
+ `ssm:StartAutomationExecution`
+ `ssm:DescribeInstanceInformation`
+ `ssm:DescribeAutomationStepExecutions`
+ `ssm:SendCommand`
+ `ssm:GetAutomationExecution`
+ `ssm:ListCommands`
+ `ssm:ListCommandInvocations`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceTypeOfferings`
+ `ec2:DescribeInstanceTypes`
+ `ec2:DescribeImages`
+ `ec2:CreateImage`
+ `ec2:RunInstances`
+ `ec2:DescribeInstanceStatus`
+ `ec2:DeregisterImage`
+ `ec2:DeleteSnapshot`
+ `ec2:TerminateInstances`
+ `ec2:StartInstances`
+ `ec2:DescribeKeyPairs`
+ `ec2:StopInstances`
+ `kms:CreateGrant*`
+ `kms:ReEncrypt`
+ `ec2:ModifyInstanceAttribute`
+ `autoscaling:DescribeAutoScalingInstances`
+ `iam:passRole`
+ `iam:ListRoles`
**Étapes de document**
+ `startOfPreliminaryChecksBranch`- Branches au flux de travail des vérifications préliminaires.
+ `getTargetInstanceProperties`- Recueille les détails de l'instance cible.
+ `checkIfNitroInstanceTypeIsSupportedInAZ`- Détermine si le type d' EC2 instance Amazon cible est pris en charge dans la même zone de disponibilité que l'instance cible.
+ `getXenInstanceTypeDetails`- Rassemble des informations sur le type d'instance source.
+ `checkIfInstanceHypervisorIsNitroAlready`- Vérifie si l'instance cible est déjà exécutée en tant que Nitro type d'instance.
+ `checkIfTargetInstanceLifecycleIsSpot`- Vérifie si l'option d'achat de l'instance cible est Spot.
+ `checkIfOperatingSystemIsLinux`- Vérifie si le système d'exploitation de l'instance cible est Linux.
+ `verifySSMConnectivityForTargetInstance`- Vérifie que l'instance cible est gérée par Systems Manager.
+ `checkIfEphemeralVolumeAreSupported`- Vérifie si le type d'instance actuel de l'instance cible prend en charge les volumes de stockage d'instance.
+ `verifyIfTargetInstanceHasEphemeralVolumesAttached`- Vérifie si des volumes de stockage d'instance sont attachés à l'instance cible.
+ `checkIfRootVolumeIsEBS`- Vérifie si le type de volume racine de l'instance cible est EBS.
+ `checkIfTargetInstanceIsInASG`- Vérifie si l'instance cible fait partie d'un groupe Auto Scaling.
+ `endOfPreliminaryChecksBranch`- Fin de la branche des vérifications préliminaires.
+ `startOfTestBranch`- Branches au flux de travail de test.
+ `createTestImage`- Crée un test AMI de l'instance cible.
+ `launchTestInstanceInSameSubnet`- Lance une instance de test à partir du test AMI en utilisant la même configuration que l'instance cible.
+ `cleanupTestInstance`- Met fin à l'instance de test.
+ `endOfTestBranch`- Fin de la branche de test.
+ `checkIfTestingBranchSucceeded`- Vérifie l'état de la branche de test.
+ `approvalToStopTargetInstance`- Attend l'approbation des principaux désignés pour arrêter l'instance cible.
+ `stopTargetEC2Instance`- Arrête l'instance cible.
+ `forceStopTargetEC2Instance`- La force arrête l'instance cible uniquement si l'étape précédente ne parvient pas à arrêter l'instance.
+ `startOfCloneAndMigrateBranch`- Succursales vers le Clone&Migrate flux de travail.
+ `createBackupImage`- Crée un AMI de l'instance cible pour servir de sauvegarde.
+ `launchInstanceInSameSubnet`- Lance une nouvelle instance à partir de la sauvegarde AMI en utilisant la même configuration que l'instance source.
+ `waitForClonedInstanceToPassStatusChecks`- Attend que l'instance nouvellement créée passe toutes les vérifications de statut.
+ `verifySSMConnectivityForClonedInstance`- Vérifie que l'instance nouvellement créée est gérée par Systems Manager.
+ `checkAndInstallENADrivers`- Vérifie si les pilotes ENA sont installés sur l'instance nouvellement créée et installe les pilotes si nécessaire.
+ `checkAndAddNVMEDrivers`- Vérifie si des NVMe pilotes sont installés sur l'instance nouvellement créée et installe les pilotes si nécessaire.
+ `checkAndModifyFSTABEntries`- Vérifie si les noms des appareils sont utilisés `/etc/fstab` et les remplace par UUIDs si nécessaire.
+ `stopClonedInstance`- Arrête l'instance nouvellement créée.
+ `forceStopClonedInstance`- La force arrête l'instance nouvellement créée uniquement si l'étape précédente ne parvient pas à arrêter l'instance.
+ `checkENAAttributeForClonedInstance`- Vérifie si l'attribut réseau amélioré est activé pour l'instance nouvellement créée.
+ `setNitroInstanceTypeForClonedInstance`- Modifie le type d'instance pour l'instance nouvellement créée en Nitro type d'instance que vous spécifiez.
+ `startClonedInstance`- Démarre l'instance nouvellement créée dont vous avez modifié le type d'instance.
+ `approvalForCreatingImageAfterDriversInstallation`- Si l'instance démarre avec succès en tant que Nitro type d'instance, l'automatisation attend l'approbation des principaux requis. Si une approbation est fournie, un AMI est créé pour être utilisé comme un Golden AMI.
+ `createImageAfterDriversInstallation`- Crée un AMI à utiliser comme une médaille d'or AMI.
+ `endOfCloneAndMigrateBranch`- Fin de Clone&Migrate branche.
+ `cleanupTestImage`- Désenregistre le AMI créé pour les tests.
+ `failureHandling`- Vérifie si vous avez choisi de mettre fin aux ressources en cas de défaillance.
+ `onFailureTerminateClonedInstance`- Met fin à l'instance nouvellement créée en cas d'échec de l'automatisation.
+ `onFailurecleanupTestImage`- Désenregistre le AMI créé pour les tests.
+ `onFailureApprovalToStartTargetInstance`- Si l'automatisation échoue, attend l'approbation des responsables désignés pour démarrer l'instance cible.
+ `onFailureStartTargetInstance`- Si l'automatisation échoue, démarre l'instance cible.
## FullMigration flux de travail
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:DescribeAutomationExecutions`
+ `ssm:DescribeInstanceInformation`
+ `ssm:DescribeAutomationStepExecutions`
+ `ssm:SendCommand`
+ `ssm:GetAutomationExecution`
+ `ssm:ListCommands`
+ `ssm:ListCommandInvocations`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceTypeOfferings`
+ `ec2:DescribeInstanceTypes`
+ `ec2:DescribeImages`
+ `ec2:CreateImage`
+ `ec2:RunInstances`
+ `ec2:DescribeInstanceStatus`
+ `ec2:DeregisterImage`
+ `ec2:DeleteSnapshot`
+ `ec2:TerminateInstances`
+ `ec2:StartInstances`
+ `ec2:DescribeKeyPairs`
+ `ec2:StopInstances`
+ `kms:CreateGrant*`
+ `kms:ReEncrypt`
+ `ec2:ModifyInstanceAttribute`
+ `ec2:DetachVolume`
+ `ec2:AttachVolume`
+ `ec2:DescribeVolumes`
+ `autoscaling:DescribeAutoScalingInstances`
+ `iam:PassRole`
+ `ec2:CreateTags`
+ `cloudformation:DescribeStackResources`
**Étapes de document**
Le `FullMigration` flux de travail exécute les mêmes étapes que le `Clone&Migrate` flux de travail et exécute également les étapes suivantes :
+ `checkConcurrency`- Vérifie qu'il n'existe qu'une seule automatisation de ce runbook ciblant l' EC2 instance Amazon que vous spécifiez. Si le runbook trouve une autre automatisation en cours ciblant la même instance, l'automatisation prend fin.
+ `getTargetInstanceProperties`- Recueille les détails de l'instance cible.
+ `checkRootVolumeTags`- Détermine si le volume racine de l' EC2 instance Amazon cible contient des balises AWS réservées.
+ `cloneTargetInstanceAndMigrateToNitro`- Lance une automatisation secondaire à l'aide du `AWS-CloneXenInstanceToNitro` runbook.
+ `branchOnTheOperationType`- Branches sur la valeur que vous spécifiez pour le `OperationType` paramètre.
+ `getClonedInstanceId`- Récupère l'ID de l'instance nouvellement lancée à partir de l'automatisation des enfants.
+ `checkIfRootVolumeIsBasedOnLVM`- Détermine si la partition racine est gérée par LVM.
+ `branchOnTheRootVolumeLVMStatus`- Si les approbations minimales requises sont reçues des donneurs d'ordre, l'automatisation se poursuit avec le remplacement du volume racine.
+ `manualInstructionsInCaseOfLVM`- Si le volume racine est géré par LVM, l'automatisation envoie une sortie contenant des instructions expliquant comment remplacer manuellement les volumes racine.
+ `startOfReplaceRootEBSVolumeBranch`- Démarre le flux de travail de la branche Replace Root EBS Volume.
+ `checkIfTargetInstanceIsManagedByCFN`- Détermine si l'instance cible est gérée par une AWS CloudFormation pile.
+ `branchOnCFNStackStatus`- Branches basées sur l'état de la CloudFormation pile.
+ `approvalForRootVolumesReplacement(WithCFN)`- Si l'instance cible a été lancée par CloudFormation, l'automatisation attend d'être approuvée une fois que l'instance nouvellement lancée a démarré avec succès en tant que Nitro type d'instance. Lorsque les approbations sont fournies, les volumes Amazon EBS de l'instance cible sont remplacés par les volumes racine de l'instance nouvellement lancée.
+ `approvalForRootVolumesReplacement`- Attend l'approbation après le démarrage réussi de l'instance nouvellement lancée en tant que Nitro type d'instance. Lorsque les approbations sont fournies, les volumes Amazon EBS de l'instance cible sont remplacés par les volumes racine de l'instance nouvellement lancée.
+ `assertIfTargetEC2InstanceIsStillStopped`- Vérifie que l'instance cible est dans un `stopped` état avant de remplacer le volume racine.
+ `stopTargetInstanceForRootVolumeReplacement`- Si l'instance cible est en cours d'exécution, l'automatisation arrête l'instance avant de remplacer le volume racine.
+ `forceStopTargetInstanceForRootVolumeReplacement`- La force arrête l'instance cible si l'étape précédente échoue.
+ `stopClonedInstanceForRootVolumeReplacement`- Arrête l'instance nouvellement créée avant de remplacer les volumes Amazon EBS.
+ `forceStopClonedInstanceForRootVolumeReplacement`- La force arrête l'instance nouvellement créée en cas d'échec de l'étape précédente.
+ `getBlockDeviceMappings`- Récupère les mappages de périphériques en mode bloc pour les instances cibles et nouvellement créées.
+ `replaceRootEbsVolumes`- Remplace le volume racine de l'instance cible par le volume racine de l'instance nouvellement créée.
+ `EndOfReplaceRootEBSVolumeBranch`- Fin du flux de travail de la branche Replace Root EBS Volume.
+ `checkENAAttributeForTargetInstance`- Vérifie si l'attribut Enhanced Networking (ENA) est activé pour l' EC2instance Amazon cible.
+ `enableENAAttributeForTargetInstance`- Active l'attribut ENA pour l' EC2 instance Amazon cible si nécessaire.
+ `setNitroInstanceTypeForTargetInstance`- Remplace l'instance cible par Nitro type d'instance que vous spécifiez.
+ `replicateRootVolumeTags`- Réplique les balises du volume Amazon EBS racine à partir de l'instance Amazon EC2 cible.
+ `startTargetInstance`- Démarre l' EC2 instance Amazon cible après avoir modifié le type d'instance.
+ `onFailureStopTargetEC2Instance`- Arrête l' EC2instance Amazon cible si elle ne démarre pas en tant que Nitro type d'instance.
+ `onFailureForceStopTargetEC2Instance`- Force arrête l' EC2 instance Amazon cible en cas d'échec de l'étape précédente.
+ `OnFailureRevertOriginalInstanceType`- Rétablit le type d' EC2instance d'origine de l'instance Amazon cible si l'instance cible ne démarre pas en tant que Nitro type d'instance.
+ `onFailureRollbackRootVolumeReplacement`- Annule toutes les modifications apportées par l'`replaceRootEbsVolumes`étape si nécessaire.
+ `onFailureApprovalToStartTargetInstance`- Attend l'approbation du principal désigné pour démarrer l' EC2 instance Amazon cible après avoir annulé les modifications précédentes.
+ `onFailureStartTargetInstance`- Démarre l' EC2instance Amazon cible.
+ `terminateClonedEC2Instance`- Résout l' EC2instance Amazon clonée après avoir remplacé le volume Amazon EBS racine.
# `AWSSupport-ResetAccess`
**Description**
Ce runbook utilisera l'outil EC2 Rescue sur l' EC2 instance spécifiée pour réactiver le déchiffrement du mot de passe à l'aide de la EC2 console (Windows) ou pour générer et ajouter une nouvelle paire de clés SSH (Linux). Si vous perdez votre paire de clés, cette automatisation créera une AMI activée par mot de passe que vous pourrez utiliser pour lancer une EC2 nouvelle instance avec une paire de clés que vous possédez (Windows).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ResetAccess)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ EC2RescueInstanceType
Type : String
Valeurs valides : t2.small \$1 t2.medium \$1 t2.large
Par défaut : t2.small
Description : (Obligatoire) Type d' EC2 instance de l'instance EC2 Rescue. Taille recommandée : t2.small.
+ InstanceId
Type : String
Description : ID (obligatoire) de l' EC2 instance pour laquelle vous souhaitez réinitialiser l'accès.
**Important**
Systems Manager Automation arrête cette instance et crée une AMI avant toute tentative d'opération. Les données stockées sur les volumes de stockage d'instance seront perdues. L'adresse IP publique change si vous n'utilisez pas une adresse IP Elastic.
+ SubnetId
Type : String
Par défaut : CreateNew VPC
Description : (Facultatif) L'ID de sous-réseau de l'instance EC2 Rescue. Par défaut, Systems Manager Automation crée un nouveau VPC. Vous pouvez également SelectedInstanceSubnet utiliser le même sous-réseau que votre instance ou spécifier un ID de sous-réseau personnalisé.
**Important**
Le sous-réseau doit se trouver dans la même zone de disponibilité que InstanceId, et il doit autoriser l'accès aux points de terminaison SSM.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
Vous devez avoir au moins **ssm : StartAutomationExecution**, **ssm : GetParameter** (pour récupérer le nom du paramètre clé SSH) et **ssm : GetAutomationExecution** pour pouvoir lire la sortie d'automatisation. Pour plus d'informations sur les autorisations requises, consultez [`AWSSupport-StartEC2RescueWorkflow`](automation-awssupport-startec2rescueworkflow.md).
**Étapes de document**
1. `aws:assertAwsResourceProperty`- Affirme si l'instance fournie est Windows.
1. (EC2Rescue pour Windows) Si l'instance fournie est Windows :
1. `aws:executeAutomation`- Invoquer `AWSSupport-StartEC2RescueWorkflow` avec le script de réinitialisation du mot de passe hors ligne EC2 Rescue for Windows
1. `aws:executeAwsApi`- Récupérez l'ID de l'AMI de sauvegarde à partir de l'automatisation imbriquée
1. `aws:executeAwsApi`- Récupérez l'ID d'AMI activé par mot de passe à partir de l'automatisation imbriquée
1. `aws:executeAwsApi`- Récupérez le résumé du EC2 sauvetage à partir de l'automatisation imbriquée
1. (EC2Rescue for Linux) Si l'instance fournie est Linux :
1. `aws:executeAutomation`- Invoquer `AWSSupport-StartEC2RescueWorkflow` avec le script d'injection de clé SSH hors ligne EC2 Rescue for Linux
1. `aws:executeAwsApi`- Récupérez l'ID de l'AMI de sauvegarde à partir de l'automatisation imbriquée
1. `aws:executeAwsApi`- Récupère le nom du paramètre SSM pour la clé SSH injectée
1. `aws:executeAwsApi`- Récupérez le résumé du EC2 sauvetage à partir de l'automatisation imbriquée
**Sorties**
obtenir EC2 RescueForWindowsResult .Output
getWindowsBackupAmi. ImageId
getWindowsPasswordEnabledAmi.ImageId
obtenir EC2 RescueForLinuxResult .Output
getLinuxBackupAmi. ImageId
Nom du paramètre GetLinux SSHKey
# `AWSSupport-ResetLinuxUserPassword`
**Description**
Le `AWSSupport-ResetLinuxUserPassword` runbook vous aide à réinitialiser le mot de passe d'un utilisateur du système d'exploitation (OS) local. Ce runbook est particulièrement utile pour les utilisateurs qui ont besoin d'accéder à leurs instances Amazon Elastic Compute Cloud (Amazon EC2) via la console série. Le runbook crée une instance Amazon EC2 temporaire dans Compte AWS votre ordinateur avec un rôle Gestion des identités et des accès AWS généré automatiquement (IAM) ou un profil d'instance IAM personnalisé que vous spécifiez. Le profil d'instance personnalisé (IAM) doit être autorisé à récupérer la valeur AWS Secrets Manager secrète contenant le mot de passe.
Le runbook arrête votre instance Amazon EC2 cible, détache le volume Amazon Elastic Block Store (Amazon EBS) racine et l'attache à l'instance Amazon EC2 temporaire. À l'aide de Run Command, un script s'exécute sur l'instance temporaire pour définir le mot de passe de l'utilisateur du système d'exploitation que vous spécifiez. Le volume Amazon EBS racine est ensuite rattaché à votre instance cible. Le runbook fournit également une option permettant de créer un instantané du volume racine au début de l'automatisation.
**Avant de commencer**
Créez un secret Secrets Manager avec la valeur du mot de passe que vous souhaitez attribuer à l'utilisateur de votre système d'exploitation. La valeur doit être en texte brut. Pour plus d’informations, consultez [Créer un secret AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html) dans le *Guide de l’utilisateur AWS Secrets Manager *.
**Considérations**
+ Nous vous recommandons de sauvegarder votre instance avant d'utiliser ce runbook. Envisagez de définir la valeur du `CreateSnapshot` paramètre comme suit**Yes**.
+ La modification du mot de passe de l'utilisateur local nécessite que le runbook arrête votre instance. Lorsqu'une instance est arrêtée, toutes les données stockées en mémoire ou sur les volumes de stockage d'instance sont perdues. De plus, toutes les IPv4 adresses publiques attribuées automatiquement sont publiées. Pour plus d'informations sur ce qui se passe lorsque vous arrêtez une instance, consultez [Arrêter et démarrer votre instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html) dans le guide de l'*utilisateur Amazon EC2*.
+ Si les volumes Amazon EBS attachés à votre instance Amazon EC2 cible sont chiffrés à l'aide d'une clé AWS Key Management Service gérée par le client AWS KMS(), assurez-vous que ce `deleted` n'est pas AWS KMS le cas, `disabled` sinon votre instance ne démarrera pas.
+ L'utilisation d'un profil d'instance IAM personnalisé nécessite l'`AutomationAssumeRole``GetInstanceProfile`autorisation IAM pour la validation, et le profil d'instance personnalisé lui-même doit inclure les autorisations d'accès à Systems Manager et Secrets Manager. Le runbook valide l'existence du profil d'instance dès le départ mais échouera lors des opérations d'instance d'assistance si le profil d'instance ne dispose pas de l'accès requis.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ResetLinuxUserPassword)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : Chaîne
Description : (Obligatoire) L'ID de l'instance Linux Amazon EC2 qui contient le mot de passe utilisateur du système d'exploitation que vous souhaitez réinitialiser.
+ LinuxUserName
Type : Chaîne
Par défaut : ec2-user
Description : (Facultatif) Le compte utilisateur du système d'exploitation dont vous souhaitez réinitialiser le mot de passe.
+ SecretArn
Type : Chaîne
Description : (Obligatoire) L'ARN du secret de votre Gestionnaire de Secrets contenant le nouveau mot de passe.
+ SecurityGroupId
Type : Chaîne
Description : (Facultatif) L'ID du groupe de sécurité à associer à l'instance Amazon EC2 temporaire. Si vous ne fournissez aucune valeur pour ce paramètre, le groupe de sécurité Amazon Virtual Private Cloud (Amazon VPC) par défaut est utilisé.
+ SubnetId
Type : Chaîne
Description : (Facultatif) L'ID du sous-réseau dans lequel vous souhaitez lancer l'instance temporaire Amazon EC2. Par défaut, l'automatisation choisit le même sous-réseau que votre instance cible. Si vous choisissez de fournir un sous-réseau différent, celui-ci doit se trouver dans la même zone de disponibilité que l'instance cible et avoir accès aux points de terminaison de Systems Manager.
+ CreateSnapshot
Type : Chaîne
Valeurs valides : Oui \$1 Non
Par défaut : Oui
Description : (Facultatif) Détermine si un instantané du volume racine de votre instance Amazon EC2 cible est créé avant l'exécution de l'automatisation.
+ StopConsent
Type : Chaîne
Valeurs valides : Oui \$1 Non
Par défaut : Non
Description : Entrez **Yes** pour confirmer que votre instance Amazon EC2 cible sera arrêtée pendant cette automatisation. Lorsque l'instance Amazon EC2 est arrêtée, toutes les données stockées dans la mémoire ou dans les volumes de stockage d'instance sont perdues et l' IPv4 adresse publique automatique est publiée. Pour plus d’informations, consultez [Arrêter et démarrer votre instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html) dans le *Guide de l’utilisateur Amazon EC2*.
+ InstanceProfileName
Type : Chaîne
Description : (Facultatif) Nom du profil d'instance IAM à associer à l'instance d'assistance Amazon EC2. S'il n'est pas fourni, un profil d'instance temporaire avec les autorisations requises sera créé automatiquement. Le profil d'instance personnalisé doit être autorisé à accéder au secret Secrets Manager et à Systems Manager spécifiés.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:DescribeInstanceInformation`
+ `ssm:ListTagsForResource`
+ `ssm:SendCommand`
+ `ec2:AttachVolume`
+ `ec2:CreateSnapshot`
+ `ec2:CreateSnapshots`
+ `ec2:CreateVolume`
+ `ec2:DescribeImages`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceStatus`
+ `ec2:DescribeSnapshotAttribute`
+ `ec2:DescribeSnapshots`
+ `ec2:DescribeSnapshotTierStatus`
+ `ec2:DescribeVolumes`
+ `ec2:DescribeVolumeStatus`
+ `ec2:DetachVolume`
+ `ec2:RunInstances`
+ `ec2:StartInstances`
+ `ec2:StopInstances`
+ `ec2:TerminateInstances`
+ `cloudformation:CreateStack`
+ `cloudformation:DeleteStack`
+ `cloudformation:DescribeStackResource`
+ `cloudformation:DescribeStacks`
+ `cloudformation:ListStacks`
+ `logs:CreateLogDelivery`
+ `logs:CreateLogGroup`
+ `logs:DeleteLogDelivery`
+ `logs:DeleteLogGroup`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `logs:PutLogEvents`
+ `iam:GetInstanceProfile`
**Étapes de document**
1. `aws:branch`— Branches selon que vous avez autorisé ou non l'arrêt de l'instance Amazon EC2 cible.
1. `aws:assertAwsResourceProperty`— Garantit que le statut de l'instance Amazon EC2 est à l'état `running` ou`stopped`. Dans le cas contraire, l'automatisation prend fin.
1. `aws:executeAwsApi`— Obtient les propriétés de l'instance Amazon EC2.
1. `aws:executeAwsApi`— Récupère les propriétés du volume racine.
1. `aws:branch`— Divise l'automatisation selon qu'un ID de sous-réseau a été fourni ou non pour l'instance temporaire Amazon EC2.
1. `aws:assertAwsResourceProperty`— Garantit que le sous-réseau que vous spécifiez en `SubnetId` paramètre se trouve dans la même zone de disponibilité que l'instance Amazon EC2 cible.
1. `aws:assertAwsResourceProperty`— Garantit que le volume racine de l'instance Amazon EC2 cible est un volume Amazon EBS.
1. `aws:assertAwsResourceProperty`— Garantit que l'architecture de l'instance Amazon EC2 est `arm64` ou. `x86_64`
1. `aws:assertAwsResourceProperty`— Garantit que le comportement d'arrêt de l'instance Amazon EC2 est ou non`stop`. `terminate`
1. `aws:branch`— Garantit que l'instance Amazon EC2 n'est pas une instance Spot. Dans le cas contraire, l'automatisation prend fin.
1. `aws:executeScript`— Garantit que l'instance Amazon EC2 ne fait pas partie d'un groupe de mise à l'échelle automatique. Si l'instance fait partie d'un groupe de dimensionnement automatique, l'automatisation confirme que l'instance Amazon EC2 est dans un état de `Standby` cycle de vie.
1. `aws:branch`— Branche l'automatisation selon qu'un nom de profil d'instance IAM personnalisé a été fourni ou non
1. `aws:assertAwsResourceProperty`— Vérifie que le profil d'instance IAM personnalisé existe et valide que son nom correspond au paramètre d'entrée.
1. `aws:createStack`— Crée une instance Amazon EC2 temporaire qui est utilisée pour réinitialiser le mot de passe de l'utilisateur du système d'exploitation que vous spécifiez.
1. `aws:waitForAwsResourceProperty`— Attend que l'instance temporaire Amazon EC2 récemment lancée soit en cours d'exécution.
1. `aws:executeAwsApi`— Obtient l'ID de l'instance Amazon EC2 temporaire.
1. `aws:waitForAwsResourceProperty`— Attend que l'instance temporaire Amazon EC2 produise le rapport tel que géré par Systems Manager.
1. `aws:changeInstanceState`— Arrête l'instance Amazon EC2 cible.
1. `aws:changeInstanceState`— Force l'instance Amazon EC2 cible à s'arrêter au cas où elle resterait bloquée dans un état d'arrêt.
1. `aws:branch`— Divise l'automatisation selon qu'un instantané du volume racine de l'instance Amazon EC2 cible a été demandé ou non.
1. `aws:executeAwsApi`— Crée un instantané du volume Amazon EBS racine de l'instance Amazon EC2 cible.
1. `aws:waitForAwsResourceProperty`— Attend que l'instantané soit dans un `completed` état.
1. `aws:executeAwsApi`— Détache le volume racine Amazon EBS de l'instance Amazon EC2 cible.
1. `aws:waitForAwsResourceProperty`— Attend que le volume racine Amazon EBS soit détaché de l'instance Amazon EC2 cible.
1. `aws:executeAwsApi`— Attache le volume Amazon EBS racine à l'instance Amazon EC2 temporaire.
1. `aws:waitForAwsResourceProperty`— Attend que le volume racine Amazon EBS soit attaché à l'instance Amazon EC2 temporaire.
1. `aws:runCommand`— Réinitialise le mot de passe de l'utilisateur cible en exécutant un script shell à l'aide de Run Command sur l'instance temporaire Amazon EC2.
1. `aws:executeAwsApi`— Détache le volume racine Amazon EBS de l'instance Amazon EC2 temporaire.
1. `aws:waitForAwsResourceProperty`— Attend que le volume racine Amazon EBS soit détaché de l'instance Amazon EC2 temporaire.
1. `aws:executeAwsApi`— Détache le volume racine Amazon EBS de l'instance temporaire Amazon EC2 après une erreur.
1. `aws:waitForAwsResourceProperty`— Attend que le volume racine Amazon EBS soit détaché de l'instance temporaire Amazon EC2 après une erreur.
1. `aws:branch`— Divise l'automatisation selon qu'un instantané du volume racine a été demandé ou non pour déterminer le chemin de restauration en cas d'erreur.
1. `aws:executeAwsApi`— Rattache le volume Amazon EBS racine à l'instance Amazon EC2 cible.
1. `aws:waitForAwsResourceProperty`— Attend que le volume racine Amazon EBS soit attaché à l'instance Amazon EC2.
1. `aws:executeAwsApi`— Crée un nouveau volume Amazon EBS à partir de l'instantané du volume racine de l'instance Amazon EC2 cible.
1. `aws:waitForAwsResourceProperty`— Attend que le nouveau volume Amazon EBS soit en état. `available`
1. `aws:executeAwsApi`— Attache le nouveau volume Amazon EBS à l'instance cible en tant que volume racine.
1. `aws:waitForAwsResourceProperty`— Attend que le volume Amazon EBS soit dans un `attached` état normal.
1. `aws:executeAwsApi`— Décrit les événements de la CloudFormation pile si les runbooks ne parviennent pas à créer ou à mettre à jour la CloudFormation pile.
1. `aws:branch`— Divise l'automatisation en fonction de l'état précédent de l'instance Amazon EC2. Si l'état était le cas`running`, l'instance est démarrée. S'il était dans un `stopped` état, l'automatisation continue.
1. `aws:changeInstanceState`— Démarre l'instance Amazon EC2 si nécessaire.
1. `aws:waitForAwsResourceProperty`— Attend que la CloudFormation pile soit en état de terminal avant de la supprimer.
1. `aws:executeAwsApi`— Supprime la CloudFormation pile, y compris l'instance temporaire Amazon EC2.
# `AWSSupport-RunEC2RescueForWindowsTool`
**Description**
Le RescueForWindowsTool runbook **AWSSupport-RunEC2** exécute l'outil de dépannage Amazon EC2 Rescue for Windows Server sur l'instance gérée Windows Amazon Elastic Compute Cloud (Amazon EC2) cible pour aider à résoudre les problèmes courants. Ce runbook soutient trois actions principales :
+ **ResetAccess**: Réinitialise le mot de passe de l'administrateur local. Le mot de passe est généré de manière aléatoire et stocké de manière sécurisée dans AWS Systems Manager Parameter Store sous le nom de`/EC2Rescue/Password/`. Si vous ne fournissez aucun paramètre, le mot de passe est chiffré avec la clé par défaut AWS Key Management Service (AWS KMS)`alias/aws/ssm`. Vous pouvez éventuellement spécifier un identifiant de AWS KMS clé pour chiffrer le mot de passe avec votre propre clé.
+ **CollectLogs**: collecte les journaux et les fichiers de configuration à partir du système d'exploitation et les télécharge dans un compartiment Amazon Simple Storage Service (Amazon S3) de votre compte en exécutant Amazon EC2 Rescue avec l'option. `/collect:all`
+ **FixAll**: tente de détecter et de résoudre des problèmes sur un volume racine Windows hors ligne connecté à l'instance actuelle en exécutant Amazon EC2 Rescue avec l'`/rescue:all`option.
**Important**
Ce runbook nécessite que l'instance cible soit une instance gérée par Windows sur laquelle les AWS outils pour Windows sont PowerShell installés. Le runbook installe l'outil Amazon EC2 Rescue pour Windows Server à l'aide du package Systems Manager Distributor. `AWSSupport-EC2Rescue`
**Fonctionnement**
Le runbook exécute les étapes suivantes :
+ Installe l'outil de dépannage Amazon EC2 Rescue pour Windows Server à l'aide du package Systems Manager Distributor.
+ Exécute l'action spécifiée (`ResetAccess`,`CollectLogs`, ou`FixAll`) avec les paramètres fournis.
+ Pour `ResetAccess` : génère un mot de passe sécurisé et le stocke dans Parameter Store.
+ Pour `CollectLogs` : collecte les journaux système et les télécharge dans le compartiment Amazon S3 spécifié.
+ Pour `FixAll` : tente de résoudre des problèmes sur le volume hors ligne spécifié.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-RunEC2RescueForWindowsTool)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Windows
**Paramètres**
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:SendCommand`
+ `ssm:ListCommandInvocations`
+ `ssm:DescribeInstanceInformation`
+ `ssm:GetCommandInvocation`
+ `ssm:PutParameter`(pour ResetAccess l'action)
+ `kms:Encrypt`(pour une ResetAccess action avec une AWS KMS clé personnalisée)
+ `s3:PutObject`(pour CollectLogs l'action)
+ `s3:GetBucketAcl`(pour CollectLogs l'action)
+ `s3:GetBucketPolicy`(pour CollectLogs l'action)
+ `s3:GetBucketPolicyStatus`(pour CollectLogs l'action)
Exemple de politique :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:ListCommandInvocations",
"ssm:DescribeInstanceInformation",
"ssm:GetCommandInvocation",
"ssm:PutParameter",
"kms:Encrypt",
"s3:PutObject",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:GetBucketPolicyStatus"
],
"Resource": "*"
}
]
}
```
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-RunEC2RescueForWindowsTool/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-RunEC2RescueForWindowsTool/description)à Systems Manager sous Documents.
1. Sélectionnez **Execute automation** (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **Commande (obligatoire) :**
+ Description : (Obligatoire) L'action à effectuer.
+ Type : `String`
+ Autoriser les valeurs : `[ResetAccess, CollectLogs, FixAll]`
+ Valeur par défaut : `ResetAccess`
+ **Paramètres (obligatoires) :**
+ Description : (Obligatoire) Paramètres de la commande :
+ Pour `ResetAccess` : l'identifiant ou l'alias de la AWS AWS KMS clé (par défaut :`alias/aws/ssm`)
+ Pour `CollectLogs` : le nom du compartiment Amazon S3 vers lequel télécharger les journaux
+ Pour `FixAll` : le nom de l'appareil pour la correction hors ligne (par exemple,`xvdf`)
+ Type : `String`
+ Autoriser le modèle : `^[0-9a-z][a-z0-9-.]{3,63}$|^(dev\/[a-z0-9]{2,10}|xv[a-z0-9]{1,10})$|^(alias\\aws\\ssm|[a-zA-Z0-9-/_]{1,32})$`
1. Sélectionnez **Exécuter**.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **installez EC2 Rescue** :
Installe l'outil de dépannage Amazon EC2 Rescue pour Windows Server à l'aide du package Systems Manager Distributor. `AWSSupport-EC2Rescue`
+ **exécuter EC2 RescueForWindows** :
Exécute le PowerShell script avec l'action spécifiée dans le paramètre Command pour effectuer l'opération demandée.
1. Une fois l'exécution terminée, consultez la section **Sorties** pour connaître les résultats détaillés de l'exécution.
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-RunEC2RescueForWindowsTool/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Support des flux de travail automatisés](https://aws.amazon.com/premiumsupport/technology/saw/)
+ [Utiliser Amazon EC2 Rescue pour Windows Server avec la commande Run de Systems Manager](https://docs.aws.amazon.com//AWSEC2/latest/WindowsGuide/ec2rw-ssm.html)
# `AWSPremiumSupport-ResizeNitroInstance`
**Description**
Le `AWSPremiumSupport-ResizeNitroInstance` runbook fournit une solution automatisée pour le redimensionnement des instances Amazon Elastic Compute Cloud (Amazon EC2) basées sur le système Nitro.
Pour réduire le risque potentiel de perte de données et de temps d'arrêt, le runbook vérifie les points suivants :
+ Comportement d'arrêt de l'instance.
+ Si l'instance fait partie d'un groupe Amazon EC2 Auto Scaling et qu'elle est `standby` en mode.
+ État et location de l'instance.
+ Le type d'instance que vous souhaitez modifier prend en charge le nombre d'interfaces réseau actuellement attachées à votre instance.
+ L'architecture du processeur et le type de virtualisation pour le type d'instance actuel et le type d'instance cible sont identiques.
+ Si l'instance est en cours d'exécution, elle passe toutes les vérifications d'état.
+ Le type d'instance que vous souhaitez modifier est disponible dans la même zone de disponibilité.
Si Amazon EC2 ne passe pas les vérifications de statut après avoir modifié le type d'instance, le runbook revient automatiquement au type d'instance précédent.
Par défaut, ce runbook ne changera pas le type d'instance s'il est en cours d'exécution et si des volumes de stockage d'instance sont attachés. Le runbook ne modifiera pas non plus le type d'instance si l'instance fait partie d'une AWS CloudFormation pile. Si vous souhaitez modifier l'un de ces comportements, spécifiez `yes` les `AllowCloudFormationInstances` paramètres `AllowInstanceStoreInstances` et.
Le runbook propose deux méthodes différentes pour spécifier le type d'instance que vous souhaitez remplacer :
+ Pour les automatisations simples ciblant une seule instance, spécifiez le type d'instance que vous souhaitez remplacer à l'aide du `TargetInstanceTypeFromParameter` paramètre.
+ Pour exécuter des automatisations à grande échelle afin de modifier le type d'instance de plusieurs instances, spécifiez le type d'instance à l'aide du `TargetInstanceTypeFromTagValue` paramètre. Pour plus d'informations sur l'exécution d'automatisations à grande échelle, voir [Exécuter des automatisations à](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-working-targets-and-rate-controls.html) grande échelle.
Si vous ne spécifiez aucune valeur pour aucun des paramètres, l'automatisation échoue.
**Important**
L'accès aux `AWSPremiumSupport-*` runbooks nécessite un abonnement Business \$1 Support, Enterprise Support ou Unified Operations. Pour plus d'informations, voir [Comparer les AWS Support forfaits](https://aws.amazon.com/premiumsupport/plans/).
**Considérations**
+ Nous vous recommandons de sauvegarder votre instance avant d'utiliser ce runbook.
+ Pour plus d'informations sur la compatibilité pour la modification du type d'instance, consultez la section [Compatibilité pour la modification du type d'instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/resize-limitations.html).
+ Si l'automatisation échoue et revient au type d'instance d'origine, voir [Résoudre les problèmes liés à la modification du type d'instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/troubleshoot-change-instance-type.html).
+ Pour modifier le type d'instance, le runbook doit arrêter votre instance. Lorsqu'une instance est arrêtée, toutes les données stockées en mémoire ou sur les volumes de stockage d'instance sont perdues. De plus, toutes les IPv4 adresses publiques attribuées automatiquement sont publiées. Pour plus d'informations sur ce qui se passe lorsque vous arrêtez une instance, consultez [Arrêter et démarrer votre instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html).
+ En utilisant `SkipInstancesWithTagKey` ce paramètre, vous pouvez ignorer les instances auxquelles une clé de balise Amazon EC2 spécifique est appliquée.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-ResizeNitroInstance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Reconnaître
Type : Chaîne
Description : (Obligatoire) Entrez **yes** pour confirmer que votre instance sera arrêtée si elle est en cours d'exécution.
+ AllowInstanceStoreInstances
Type : Chaîne
Valeurs valides : non \$1 oui
Par défaut : non
Description : (Facultatif) Si vous le spécifiez`yes`, vous autorisez le runbook à s'exécuter sur des instances auxquelles des volumes de stockage d'instance sont attachés.
+ AllowCloudFormationInstances
Type : Chaîne
Valeurs valides : non \$1 oui
Par défaut : non
Description : (Facultatif) Si vous le spécifiez`yes`, le runbook s'exécute sur des instances faisant partie d'une CloudFormation pile.
+ DryRun
Type : Chaîne
Valeurs valides : non \$1 oui
Par défaut : non
Description : (Facultatif) Si vous le spécifiez`yes`, le runbook valide les exigences de redimensionnement sans modifier le type d'instance.
+ InstanceId
Type : Chaîne
Description : (Obligatoire) L'ID de l'instance Amazon EC2 dont vous souhaitez modifier le type.
+ SkipInstancesWithTagKey
Type : Chaîne
Description : (Facultatif) L'automatisation ignore une instance cible si la clé de balise que vous spécifiez est appliquée à l'instance.
+ SleepTime
Type : Chaîne
Valeur par défaut : 3
Description : (Facultatif) Le nombre de secondes pendant lesquelles ce runbook doit être mis en veille une fois terminé.
+ TagInstance
Type : Chaîne
Description : (Facultatif) Marquez les instances avec la clé et la valeur de votre choix en utilisant le format suivant :*Key=ChangingType,Value=True*. Cette option vous permet de suivre les instances ciblées par ce runbook. Les clés et les valeurs des balises distinguent les majuscules et minuscules.
+ TargetInstanceTypeFromParameter
Type : Chaîne
Description : (Facultatif) Le type d'instance auquel vous souhaitez remplacer votre instance. Laissez ce paramètre vide si vous souhaitez utiliser la valeur de la clé de balise fournie dans le `TargetInstanceTypeFromTagValue` paramètre.
+ TargetInstanceTypeFromTagValue
Type : Chaîne
Description : (Facultatif) La clé de balise appliquée à vos instances cibles dont la valeur contient le type d'instance que vous souhaitez modifier. Si vous spécifiez une valeur pour le `TargetInstanceTypeFromParameter` paramètre, elle remplace toute valeur que vous spécifiez pour ce paramètre.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `autoscaling:DescribeAutoScalingInstances`
+ `cloudformation:DescribeStackResources`
+ `ssm:GetAutomationExecution`
+ `ssm:DescribeAutomationExecutions`
+ `ec2:DescribeInstanceAttribute`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceStatus`
+ `ec2:DescribeInstanceTypeOfferings`
+ `ec2:DescribeInstanceTypes`
+ `ec2:DescribeTags`
+ `ec2:ModifyInstanceAttribute`
+ `ec2:StartInstances`
+ `ec2:StopInstances`
**Étapes de document**
1. `aws:assertAwsResourceProperty`: garantit que l'instance Amazon EC2 n'est pas étiquetée avec la clé de balise de ressource spécifiée dans le `SkipInstancesWithTagKey` paramètre. Si la clé de balise est trouvée appliquée à l'instance, l'étape échoue et l'automatisation prend fin.
1. `aws:assertAwsResourceProperty`: confirme que le statut de l'instance Amazon EC2 cible est `running` `pending``stopped`, ou. `stopping` Dans le cas contraire, l'automatisation prend fin.
1. `aws:executeAwsApi`: rassemble les propriétés de l'instance Amazon EC2.
1. `aws:executeAwsApi`: rassemble des informations sur le type d'instance Amazon EC2 actuel.
1. `aws:branch`: Vérifie si le type d'instance actuel et le type d'instance spécifié dans le `TargetInstanceTypeFromParameter` paramètre sont identiques. Si tel est le cas, l'automatisation prend fin.
1. `aws:assertAwsResourceProperty`: garantit que l'instance fonctionne sur le système Nitro.
1. `aws:branch`: garantit que le type de volume racine de l'instance Amazon EC2 est un volume Amazon Elastic Block Store (Amazon EBS).
1. `aws:assertAwsResourceProperty`: confirme que le comportement d'arrêt de l'instance est `stop` ou non`terminate`.
1. `aws:branch`: garantit que l'instance Amazon EC2 n'est pas une instance Spot.
1. `aws:branch`: garantit que la location de l'instance Amazon EC2 est par défaut et non un hôte dédié ou une instance dédiée.
1. `aws:executeScript`: confirme qu'il n'existe qu'une seule automatisation de ce runbook ciblant l'ID d'instance actuel. Si une autre automatisation est déjà en cours ciblant la même instance, l'automatisation renvoie une erreur et se termine.
1. `aws:branch`: répartit l'automatisation en fonction de l'état de l'instance Amazon EC2.
1. Dans l'`stopped`affirmative`stopping`, l'automatisation s'exécute `aws:waitForAwsResourceProperty` jusqu'à ce que l'instance Amazon EC2 soit complètement arrêtée.
1. Dans l'`running`affirmative`pending`, l'automatisation s'exécute `aws:waitForAwsResourceProperty` jusqu'à ce que l'instance Amazon EC2 passe les vérifications de statut.
1. `aws:assertAwsResourceProperty`: confirme que l'instance Amazon EC2 ne fait pas partie d'un groupe Auto Scaling en appelant l'opération `DescribeAutoScalingInstances` API. Si l'instance fait partie d'un groupe Auto Scaling, assurez-vous que l'instance Amazon EC2 est en `standby` mode.
1. `aws:branch`: répartit l'automatisation selon que vous souhaitez que l'automatisation vérifie si l'instance Amazon EC2 fait partie d'une CloudFormation pile :
1. `aws:executeScript`Garantit que l'instance Amazon EC2 ne fait pas partie d'une CloudFormation pile en appelant l'opération d'`DescribeStackResources`API.
1. `aws:executeAwsApi`: renvoie une liste de types d'instances ayant le même type d'architecture de processeur, le même type de virtualisation et prenant en charge le nombre d'interfaces réseau actuellement attachées à l'instance cible.
1. `aws:executeAwsApi`: obtient la valeur du type d'instance cible à partir de la clé de balise spécifiée dans le `TargetInstanceTypeFromTagValue` paramètre.
1. `aws:executeScript`: confirme que les types d'instances actuels et cibles sont compatibles. Garantit que le type d'instance cible est disponible dans le même sous-réseau. Vérifie que le principal qui a lancé le runbook est autorisé à modifier le type d'instance et à arrêter et démarrer l'instance si elle était en cours d'exécution.
1. `aws:branch`: Branche l'automatisation selon que la valeur du `DryRun` paramètre est définie ou non sur`yes`. Si`yes`, l'automatisation prend fin.
1. `aws:branch`: Vérifie si le type d'instance d'origine et le type d'instance cible sont identiques. S'ils sont identiques, l'automatisation prend fin.
1. `aws:executeAwsApi`: obtient l'état actuel de l'instance.
1. `aws:changeInstanceState`: arrête l'instance Amazon EC2.
1. `aws:changeInstanceState`: force l'instance à s'arrêter si elle est bloquée dans son `stopping` état.
1. `aws:executeAwsApi`: remplace le type d'instance par le type d'instance cible.
1. `aws:sleep`: Attend 3 secondes après avoir changé le type d'instance pour une cohérence éventuelle.
1. `aws:branch`: répartit l'automatisation en fonction de l'état de l'instance précédent. Si c'est le cas`running`, l'instance est démarrée.
1. `aws:changeInstanceState`: démarre l'instance Amazon EC2 si elle était en cours d'exécution avant de modifier le type d'instance.
1. `aws:waitForAwsResourceProperty`: attend que l'instance Amazon EC2 passe les vérifications de statut. Si l'instance ne passe pas les vérifications de statut, le type d'instance d'origine est rétabli.
1. `aws:changeInstanceState`: arrête l'instance Amazon EC2 avant de lui redonner son type d'instance d'origine.
1. `aws:changeInstanceState`: force l'instance Amazon EC2 à s'arrêter avant de la remplacer par son type d'instance d'origine au cas où elle resterait bloquée dans un état d'arrêt.
1. `aws:executeAwsApi`: remplace le type d'origine de l'instance Amazon EC2.
1. `aws:sleep`: Attend 3 secondes après avoir changé le type d'instance pour une cohérence éventuelle.
1. `aws:changeInstanceState`: démarre l'instance Amazon EC2 si elle était en cours d'exécution avant de modifier le type d'instance.
1. `aws:waitForAwsResourceProperty`: attend que l'instance Amazon EC2 passe les vérifications de statut.
1. `aws:sleep`: Attend avant de terminer le runbook.
# `AWSSupport-ShareEncryptedAMIOrEBSSnapshot`
**Description**
Ce runbook automatise le processus de partage de snapshots Amazon Machine Image chiffrés ou d'Amazon Elastic Block Store avec d'autres comptes Amazon Web Services. Ce manuel répond aux exigences complexes relatives au partage entre comptes de ressources chiffrées, y compris les AWS Key Management Service principales modifications des politiques et les mises à jour des autorisations de ressources.
Cette automatisation exécute les étapes décrites dans l'article du blog sur la AWS sécurité [Comment partager des données AMI chiffrées entre comptes pour lancer des instances Amazon Elastic Compute Cloud cryptées](https://aws.amazon.com/blogs/security/how-to-share-encrypted-amis-across-accounts-to-launch-encrypted-ec2-instances/).
**Importantes considérations**
**Ce runbook modifiera vos ressources** : le runbook ajoutera des autorisations entre comptes à votre politique de clé gérée par le AWS KMS client (CMK) et accordera des autorisations de lancement ou Amazon EBS Snapshot créera des AMI autorisations de volume sur le compte de destination.
**Des frais supplémentaires peuvent s'appliquer** : lors de la copie de ressources (région différente ou chiffrement AWS par clé gérée), des coûts supplémentaires seront encourus pour le nouvel instantané AMI ou pour le snapshot Amazon EBS et pour tout transfert de données entre régions.
**Vérifiez l'ID du compte de destination : Vérifiez l'ID** du compte de destination car ce runbook ne peut pas valider l'existence du compte.
**Annulation automatique avec vérification manuelle** : ce runbook tente d'annuler automatiquement les modifications en cas d'échec. Toutefois, si la restauration elle-même échoue, vérifiez qu'aucune copie supplémentaire de AMI /Snapshot n'est restée dans votre compte, que les LaunchPermission/CreateVolumePermission attributs des ressources n'incluent pas les comptes indésirables et que la politique AWS KMS clé est dans son état d'origine.
**Fonctionnement**
Le runbook exécute les étapes de haut niveau suivantes :
+ Valide l'existence, l'état et la configuration de chiffrement des ressources d'entrée
+ Vérifie les autorisations de partage de ressources actuelles avec le compte de destination
+ Analyse les politiques AWS KMS clés et crée un aperçu complet de toutes les modifications requises
+ Demande l'approbation des directeurs désignés avant d'apporter des modifications
+ Exécute les modifications approuvées, y compris la copie des ressources (si nécessaire), les mises à jour des autorisations et les AWS KMS principales modifications des politiques
+ Fournit un rapport d'exécution complet avec des informations de restauration si nécessaire
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ShareEncryptedAMIOrEBSSnapshot)
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
Le AutomationAssumeRole paramètre nécessite les actions suivantes :
+ EC2 : DescribeImages
+ EC2 : DescribeSnapshots
+ EC2 : DescribeImageAttribute
+ EC2 : DescribeSnapshotAttribute
+ EC2 : ModifyImageAttribute
+ EC2 : ModifySnapshotAttribute
+ EC2 : CopyImage
+ EC2 : CopySnapshot
+ EC2 : DeregisterImage
+ EC2 : DeleteSnapshot
+ km : DescribeKey
+ km : GetKeyPolicy
+ km : PutKeyPolicy
+ km : CreateGrant
+ km : GenerateDataKey \$1
+ km : ReEncrypt \$1
+ kms:Decrypt
+ analyseur d'accès : CheckAccessNotGranted
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ShareEncryptedAMIOrEBSSnapshot/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ShareEncryptedAMIOrEBSSnapshot/description)à Systems Manager sous Documents.
1. Sélectionnez Execute automation (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
Le nom de ressource Amazon du AWS Gestion des identités et des accès AWS rôle qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **Approbateurs (obligatoire) :**
La liste des principaux AWS authentifiés qui sont en mesure d'approuver ou de rejeter l'action. Le nombre maximum d'approbateurs est de 10. Vous pouvez spécifier des principes en utilisant l'un des formats suivants : nom d'utilisateur, ARN de rôle IAM, ARN de rôle IAM ou ARN de rôle IAM assume.
+ **ResourceId (Obligatoire) :**
AMIou Amazon EBS Snapshot ID à partager (par exemple, ami-123456789012 ou snap-123456789012).
+ **DestinationAccountId (Obligatoire) :**
L'identifiant de AWS compte à 12 chiffres sur lequel la ressource sera partagée.
+ **CustomerManagedKeyId (Facultatif) :**
AWS KMS ID CMK pour rechiffrer la ressource. Obligatoire si la ressource est chiffrée à l'aide d'une clé AWS gérée ou si la copie entre régions DestinationRegion est spécifiée. Pour la copie entre régions, cette clé doit exister dans la région de destination.
+ **DestinationRegion (Facultatif) :**
AWS Région dans laquelle la ressource sera copiée. La valeur par défaut est la région actuelle. Si une autre région est spécifiée, la ressource sera copiée dans la région de destination à l'aide de la clé AWS KMS CMK spécifiée dans le CustomerManagedKeyId paramètre.
1. Sélectionnez Exécuter.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **`ValidateResources`**:
Valide l'existence, l'état et la configuration de chiffrement des ressources d'entrée et détermine les modifications requises pour le partage.
+ **`BranchOnResourcePermission`**:
Divise le flux de travail en fonction de la nécessité de vérifier si l'autorisation de partage des ressources doit être vérifiée.
+ **`CheckResourcePermission`**:
Vérifie si le compte cible a requis une autorisation de partage pour la ressource.
+ **`AnalyzeChanges`**:
Analyse les politiques AWS KMS clés et crée un aperçu complet de toutes les modifications requises.
+ **`BranchOnChanges`**:
Divise le flux de travail selon que les modifications doivent être approuvées ou non.
+ **`GetApproval`**:
Attend l'approbation des responsables AWS IAM désignés pour procéder aux modifications requises.
+ **`ExecuteChanges`**:
Exécute les modifications approuvées avec annulation en cas d'échec.
+ **`Results`**:
Génère un rapport d'exécution complet résumant toutes les actions entreprises pendant le processus de chiffrement AMI ou de partage d'instantanés.
1. Une fois terminé, consultez la section Sorties pour connaître les résultats détaillés de l'exécution.
** AWS Gestion des identités et des accès AWS Politique requise pour le compte de destination**
Le rôle ou l'utilisateur IAM du compte de destination doit configurer les autorisations IAM suivantes pour lancer des instances Amazon EC2 chiffrées à partir du chiffrement partagé AMI ou pour créer des volumes à partir du snapshot Amazon EBS crypté partagé :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ReEncrypt*",
"kms:CreateGrant",
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:::key/"
]
}
]
}
```
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ShareEncryptedAMIOrEBSSnapshot/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Support des flux de travail automatisés](https://aws.amazon.com/premiumsupport/technology/saw/)
+ [Partager une AWS KMS clé](https://docs.aws.amazon.com//ebs/latest/userguide/share-kms-key.html)
# `AWSSupport-RestoreEC2InstanceFromSnapshot`
**Description**
Le `AWSSupport-RestoreEC2InstanceFromSnapshot` runbook vous aide à identifier et à restaurer une instance Amazon Elastic Compute Cloud (Amazon EC2) à partir d'un instantané Amazon Elastic Block Store (Amazon EBS) fonctionnel du volume racine.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-RestoreEC2InstanceFromSnapshot)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ EndDate
Type : String
Description : (Facultatif) Date à laquelle vous souhaitez que l'automatisation recherche un instantané.
+ InplaceSwap
Type : booléen
Valeurs valides : true \$1 false
Description : (Facultatif) Si la valeur de ce paramètre est définie sur`true`, le volume nouvellement créé à partir de l'instantané remplace le volume racine existant attaché à votre instance.
+ InstanceId
Type : String
Description : (Obligatoire) L'ID de l'instance que vous souhaitez restaurer à partir d'un instantané.
+ LookForInstanceStatusCheck
Type : booléen
Valeurs valides : true \$1 false
Valeur par défaut : true
Description : (Facultatif) Si la valeur de ce paramètre est définie sur`true`, l'automatisation vérifie si les vérifications de l'état des instances échouent sur les instances de test lancées à partir des instantanés.
+ SkipSnapshotsBy
Type : String
Description : (Facultatif) Intervalle auquel les instantanés sont ignorés lorsque vous recherchez des instantanés pour restaurer votre instance. Par exemple, si 100 instantanés sont disponibles et que vous spécifiez une valeur de 2 pour ce paramètre, un instantané sur trois est examiné.
Par défaut : 0
+ SnapshotId
Type : String
Description : (Facultatif) L'ID d'un instantané à partir duquel vous souhaitez restaurer l'instance.
+ StartDate
Type : String
Description : (Facultatif) Date à laquelle vous souhaitez que l'automatisation recherche un instantané pour la première fois.
+ TotalSnapshotsToLook
Type : String
Description : (Facultatif) Nombre de clichés examinés par l'automatisation.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ssm:DescribeInstanceInformation`
+ `ec2:AttachVolume`
+ `ec2:CreateImage`
+ `ec2:CreateTags`
+ `ec2:CreateVolume`
+ `ec2:DeleteTags`
+ `ec2:DeregisterImage`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceStatus`
+ `ec2:DescribeImages`
+ `ec2:DescribeSnapshots`
+ `ec2:DescribeVolumes`
+ `ec2:DetachVolume`
+ `ec2:RunInstances`
+ `ec2:StartInstances`
+ `ec2:StopInstances`
+ `ec2:TerminateInstances`
+ `cloudwatch:GetMetricData`
**Étapes de document**
1. `aws:executeAwsApi`- Recueille des informations sur l'instance cible.
1. `aws:assertAwsResourceProperty`- Vérifie que l'instance cible existe.
1. `aws:assertAwsResourceProperty`- Vérifie que le volume racine est un volume Amazon EBS.
1. `aws:assertAwsResourceProperty`- Vérifie qu'aucune autre automatisation ciblant cette instance n'est déjà en cours d'exécution.
1. `aws:executeAwsApi`- Marque l'instance cible.
1. `aws:executeAwsApi`- Crée un AMI de l'instance.
1. `aws:executeAwsApi`- Recueille des informations sur le AMI créé à l'étape précédente.
1. `aws:waitForAwsResourceProperty`- Attend le AMI état à devenir `available` avant de poursuivre.
1. `aws:executeScript`- Lance une nouvelle instance à partir de la nouvelle instance AMI.
1. `aws:assertAwsResourceProperty`- Vérifie que l'état de l'instance est`available`.
1. `aws:executeAwsApi`- Recueille des informations sur la nouvelle instance lancée.
1. `aws:branch`- Branches selon que vous avez fourni ou non une valeur pour le `SnapshotId` paramètre.
1. `aws:executeScript`- Renvoie une liste de clichés pendant la période spécifiée.
1. `aws:executeAwsApi`- Arrête l'instance.
1. `aws:waitForAwsResourceProperty`- Attend que l'état du volume soit atteint. `available`
1. `aws:waitForAwsResourceProperty`- Attend que l'état de l'instance soit atteint. `stopped`
1. `aws:executeAwsApi`- Détache le volume racine.
1. `aws:waitForAwsResourceProperty`- Attend que le volume racine soit détaché.
1. `aws:executeAwsApi`- Attache le nouveau volume racine.
1. `aws:waitForAwsResourceProperty`- Attend que le nouveau volume soit joint.
1. `aws:executeAwsApi`- Démarre l'instance.
1. `aws:waitForAwsResourceProperty`- Attend que l'état de l'instance soit atteint. `available`
1. `aws:waitForAwsResourceProperty`- Attend que les vérifications de l'état du système et de l'instance soient effectuées pour l'instance.
1. `aws:executeScript`- Exécute un script pour trouver un instantané pouvant être utilisé pour créer un volume avec succès.
1. `aws:executeScript`- Exécute un script pour récupérer l'instance en utilisant le volume nouvellement créé à partir de l'instantané identifié par l'automatisation, ou en utilisant le volume créé à partir de l'instantané que vous avez spécifié dans le `SnapshotId` paramètre.
1. `aws:executeScript`- Supprime les ressources créées par l'automatisation.
**Sorties**
launchCloneInstance.InstanceIds
ListSnapshotByDate. Instantanés finaux
ListSnapshotByDate.remainingSnapshotToBeCheckedInSameDateRange
findWorkingSnapshot. Instantané de travail
InstanceRecovery.résultat
# `AWSSupport-SendLogBundleToS3Bucket`
**Description**
Le `AWSSupport-SendLogBundleToS3Bucket` runbook télécharge un ensemble de journaux généré par l'outil EC2 Rescue depuis l'instance cible vers le compartiment S3 spécifié. Le runbook installe la version spécifique à la plate-forme de EC2 Rescue en fonction de la plate-forme de l'instance cible. EC2Rescue est ensuite utilisé pour collecter tous les journaux du système d'exploitation (OS) disponibles.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-SendLogBundleToS3Bucket)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : String
Description : (Obligatoire) ID de l'instance gérée Windows ou Linux à partir de laquelle vous souhaitez collecter les journaux.
+ S3 BucketName
Type : String
Description : (Obligatoire) compartiment S3 dans lequel charger les journaux.
+ S3Path
Type : String
Par défaut :`AWSSupport-SendLogBundleToS3Bucket`/
Description : (Facultatif) chemin S3 des journaux collectés.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
Il est recommandé que l' EC2 instance recevant la commande ait un rôle IAM associé à la politique gérée par **SSMManagedInstanceCoreAmazon**. L'utilisateur doit avoir au moins **ssm : StartAutomationExecution** et **ssm : SendCommand** pour exécuter l'automatisation et envoyer la commande à l'instance, plus **ssm : GetAutomationExecution** pour pouvoir lire le résultat de l'automatisation.
**Étapes de document**
1. `aws:runCommand`- Installez EC2 Rescue via`AWS-ConfigureAWSPackage`.
1. `aws:runCommand`- Exécutez le PowerShell script pour collecter les journaux de dépannage de Windows avec EC2 Rescue.
1. `aws:runCommand`- Exécutez le script bash pour collecter les journaux de dépannage de Linux avec EC2 Rescue.
**Sorties**
collectAndUploadWindowsLogBundle.Sortie
collectAndUploadLinuxLogBundle.Sortie
# `AWSSupport-StartEC2RescueWorkflow`
**Description**
Le `AWSSupport-StartEC2RescueWorkflow` runbook exécute le script codé en base64 fourni (Bash ou Powershell) sur une instance d'assistance créée pour sauver votre instance. Le volume racine de votre instance est attaché et monté sur l'instance d'assistance, également appelée instance EC2 Rescue. Si votre instance est basée sur Windows, fournissez un script Powershell. Dans le cas contraire, utilisez Bash. Le runbook définit certaines variables d'environnement que vous pouvez utiliser dans votre script. Les variables d'environnement contiennent des informations sur l'entrée que vous avez fournie, ainsi que des informations sur le volume racine hors connexion. Le volume hors connexion est déjà monté et prêt à être utilisé. Par exemple, vous pouvez enregistrer un fichier Desired State Configuration dans un volume racine Windows hors connexion ou exécuter une commande chroot pour un volume racine Linux hors connexion et effectuer une correction hors connexion.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-StartEC2RescueWorkflow)
**Important**
Les instances Amazon EC2 créées à partir de Marketplace Amazon Machine Images (AMIs) ne sont pas prises en charge par cette automatisation.
**Informations supplémentaires**
Pour coder un script en base64, vous pouvez utiliser Powershell ou Bash. PowerShell :
```
[System.Convert]::ToBase64String([System.Text.Encoding]::ASCII.GetBytes([System.IO.File]::ReadAllText('PATH_TO_FILE')))
```
Bash :
```
base64 PATH_TO_FILE
```
Voici une liste des variables d'environnement que vous pouvez utiliser dans vos scripts hors connexion, en fonction du système d'exploitation cible
Windows :
****
| Variable | Description | Exemple de valeur |
| --- | --- | --- |
| \$1env : RESCUE\$1ACCOUNT\$1ID EC2 | \$1\$1 global:ACCOUNT\$1ID \$1\$1 | 123456789012 |
| \$1env : RESCUE\$1DATE EC2 | \$1\$1 global:DATE \$1\$1 | 2018-09-07 |
| \$1env : RESCUE\$1DATE\$1TIME EC2 | \$1\$1 global:DATE\$1TIME \$1\$1 | 2018-09-07\$118.09.59 |
| \$1env : EC2 RESCUE\$1 RW\$1DIR EC2 | EC2Chemin d'installation de Rescue for Windows | C:\$1Program Files \$1 Amazon \$1 EC2 Rescue |
| \$1env : EC2 RESCUE\$1 RW\$1DIR EC2 | EC2Chemin d'installation de Rescue for Windows | C:\$1Program Files \$1 Amazon \$1 EC2 Rescue |
| \$1env : RESCUE\$1EXECUTION\$1ID EC2 | \$1\$1 automation:EXECUTION\$1ID \$1\$1 | 7ef8008e-219b-4aca-8bb5-65e2e898e20b |
| \$1env : RESCUE\$1OFFLINE\$1CURRENT\$1CONTROL\$1SET EC2 | Chemin de l'ensemble de contrôles Windows hors connexion | `HKLM:\AWSTempSystem\ControlSet001` |
| \$1env : RESCUE\$1OFFLINE\$1DRIVE EC2 | Lecteur Windows hors connexion | D:\$1 |
| \$1env : RESCUE\$1OFFLINE\$1EBS\$1DEVICE EC2 | Périphérique EBS de volume racine hors connexion | xvdf |
| \$1env : RESCUE\$1OFFLINE\$1KERNEL\$1VER EC2 | Version de noyau Windows hors connexion | 6.1.7601.24214 |
| \$1env : RESCUE\$1OFFLINE\$1OS\$1ARCHITECTURE EC2 | Architecture Windows hors connexion | AMD64 |
| \$1env : RESCUE\$1OFFLINE\$1OS\$1CAPTION EC2 | Légende Windows hors connexion | Windows Server 2008 R2 Datacenter |
| \$1env : RESCUE\$1OFFLINE\$1OS\$1TYPE EC2 | Type de système d'exploitation Windows hors connexion | Serveur |
| \$1env : RESCUE\$1OFFLINE\$1PROGRAM\$1FILES\$1DIR EC2 | Chemin de répertoire de fichiers de programme Windows hors connexion | D:\$1Program Files |
| \$1env : RESCUE\$1OFFLINE\$1PROGRAM\$1FILES\$1X86\$1DIR EC2 | Chemin de répertoire de fichiers de programme x86 hors connexion | D:\$1Program Files (x86) |
| \$1env : RESCUE\$1OFFLINE\$1REGISTRY\$1DIR EC2 | Chemin de répertoire de registre Windows hors connexion | D:\$1Windows\$1System32\$1config |
| \$1env : RESCUE\$1OFFLINE\$1SYSTEM\$1ROOT EC2 | Chemin de répertoire racine du système Windows hors connexion | D:\$1Windows |
| \$1env : RESCUE\$1REGION EC2 | \$1\$1 global:REGION \$1\$1 | us-west-1 |
| \$1env : RESCUE\$1S3\$1BUCKET EC2 | \$1\$1S3BucketName \$1\$1 | seau de démonstration amzn-s3 |
| \$1env : RESCUE\$1S3\$1PREFIX EC2 | \$1\$1 S3Prefix \$1\$1 | myprefix/ |
| \$1env : RESCUE\$1SOURCE\$1INSTANCE EC2 | \$1\$1 InstanceId \$1\$1 | i-abcdefgh123456789 |
| \$1script : EC2 RESCUE\$1OFFLINE\$1WINDOWS\$1INSTALL | Métadonnées d'installation Windows hors connexion | Objet Powershell client |
Linux :
****
| Variable | Description | Exemple de valeur |
| --- | --- | --- |
| EC2IDENTIFIANT DU COMPTE DE SECOURS | \$1\$1 global:ACCOUNT\$1ID \$1\$1 | 123456789012 |
| EC2DATE DE SAUVETAGE | \$1\$1 global:DATE \$1\$1 | 2018-09-07 |
| EC2DATE-HEURE DU SAUVETAGE | \$1\$1 global:DATE\$1TIME \$1\$1 | 2018-09-07\$118.09.59 |
| EC2RESCUE\$1RL\$1DIR EC2 | EC2Chemin d'installation de Rescue for Linux | /usr/local/ec2RL-1.1.3 |
| EC2ID D'EXÉCUTION DU SAUVETAGE | \$1\$1 automation:EXECUTION\$1ID \$1\$1 | 7ef8008e-219b-4aca-8bb5-65e2e898e20b |
| EC2APPAREIL DE SAUVETAGE HORS LIGNE | Nom du périphérique hors connexion | /dev/xvdf1 |
| EC2APPAREIL DE SAUVETAGE HORS LIGNE EBS | Périphérique EBS de volume racine hors connexion | /dev/sdf |
| EC2RESCUE\$1OFFLINE\$1SYSTEM\$1ROOT | Point de montage du volume racine hors connexion | /mnt/mount |
| EC2RESCUE PYTHON | Version de Python | python2.7 |
| EC2REGION\$1DE SAUVETAGE | \$1\$1 global:REGION \$1\$1 | us-west-1 |
| EC2RESCUE\$1S3\$1BUCKET | \$1\$1S3BucketName \$1\$1 | seau de démonstration amzn-s3 |
| EC2RESCUE\$1S3\$1PRÉFIXE | \$1\$1 S3Prefix \$1\$1 | myprefix/ |
| EC2RESCUE\$1SOURCE\$1INSTANCE | \$1\$1 InstanceId \$1\$1 | i-abcdefgh123456789 |
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AMIPrefix
Type : Chaîne
Valeur par défaut : `AWSSupport-EC2Rescue`
Description : (Facultatif) préfixe pour le nom AMI de secours.
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ CreatePostEC2RescueBackup
Type : Chaîne
Valeurs valides : true \$1 false
Valeur par défaut : false
Description : (Facultatif) Réglez-le `true` sur pour créer une AMI InstanceId après l'exécution du script, avant de le démarrer. L'AMI sera conservée une fois l'automatisation terminée. Vous devez sécuriser l'accès à l'AMI ou le supprimer.
+ CreatePreEC2RescueBackup
Type : Chaîne
Valeurs valides : true \$1 false
Valeur par défaut : false
Description : (Facultatif) Réglez-le `true` sur pour créer une AMI de InstanceId avant d'exécuter le script. L'AMI sera conservée une fois l'automatisation terminée. Vous devez sécuriser l'accès à l'AMI ou le supprimer.
+ EC2RescueInstanceType
Type : Chaîne
Valeurs valides : t2.small \$1 t2.medium \$1 t2.large \$1 t3.small \$1 t3.medium \$1 t3.large \$1 i3.large
Par défaut : t3.medium
Description : (Facultatif) Type d'instance EC2 pour l'instance EC2 Rescue.
+ InstanceId
Type : Chaîne
Description : (Obligatoire) ID de votre instance EC2. IMPORTANT : AWS Systems Manager L'automatisation arrête cette instance. Les données stockées sur les volumes de stockage d'instance seront perdues. L'adresse IP publique change si vous n'utilisez pas une adresse IP Elastic.
+ OfflineScript
Type : Chaîne
Description : (Obligatoire) script codé en Base64 à exécuter sur l'instance d'assistant. Utilisez Bash si votre instance source est Linux et PowerShell si c'est Windows.
+ S3 BucketName
Type : Chaîne
Description : (Facultatif) nom du compartiment S3 de votre compte dans lequel vous souhaitez charger les journaux de dépannage. Assurez-vous que la politique des compartiments n'accorde pas d' read/write autorisations inutiles aux parties qui n'ont pas besoin d'accéder aux journaux collectés.
+ S3Prefix
Type : Chaîne
Valeur par défaut : `AWSSupport-EC2Rescue`
Description : (Facultatif) préfixe pour les journaux S3.
+ SubnetId
Type : Chaîne
Par défaut : SelectedInstanceSubnet
Description : (Facultatif) L'ID de sous-réseau de l'instance EC2 Rescue. Par défaut, le même sous-réseau dans lequel l'instance réside est utilisé. IMPORTANT : Si vous fournissez un sous-réseau personnalisé, il doit se trouver dans la même zone de disponibilité que InstanceId les points de terminaison SSM et autoriser l'accès à ceux-ci.
+ UniqueId
Type : Chaîne
Par défaut : \$1\$1 automation:EXECUTION\$1ID \$1\$1
Description : (Facultatif) Identifiant unique pour l'automatisation.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
Il est recommandé à l'utilisateur qui exécute l'automatisation de joindre la politique gérée par **Amazon SSMAutomation Role** IAM. En plus de cette stratégie, l'utilisateur doit avoir :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"lambda:InvokeFunction",
"lambda:DeleteFunction",
"lambda:GetFunction"
],
"Resource": "arn:aws:lambda:*:111122223333:function:AWSSupport-EC2Rescue-*",
"Effect": "Allow"
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::awssupport-ssm.*/*.template",
"arn:aws:s3:::awssupport-ssm.*/*.zip"
],
"Effect": "Allow"
},
{
"Action": [
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:GetRole",
"iam:GetInstanceProfile",
"iam:PutRolePolicy",
"iam:DetachRolePolicy",
"iam:AttachRolePolicy",
"iam:PassRole",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DeleteInstanceProfile"
],
"Resource": [
"arn:aws:iam::111122223333:role/AWSSupport-EC2Rescue-*",
"arn:aws:iam::111122223333:instance-profile/AWSSupport-EC2Rescue-*"
],
"Effect": "Allow"
},
{
"Action": [
"lambda:CreateFunction",
"ec2:CreateVpc",
"ec2:ModifyVpcAttribute",
"ec2:DeleteVpc",
"ec2:CreateInternetGateway",
"ec2:AttachInternetGateway",
"ec2:DetachInternetGateway",
"ec2:DeleteInternetGateway",
"ec2:CreateSubnet",
"ec2:DeleteSubnet",
"ec2:CreateRoute",
"ec2:DeleteRoute",
"ec2:CreateRouteTable",
"ec2:AssociateRouteTable",
"ec2:DisassociateRouteTable",
"ec2:DeleteRouteTable",
"ec2:CreateVpcEndpoint",
"ec2:DeleteVpcEndpoints",
"ec2:ModifyVpcEndpoint",
"ec2:Describe*"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
**Étapes de document**
1. `aws:executeAwsApi`- Décrivez l'instance fournie
1. `aws:executeAwsApi`- Décrivez le volume racine de l'instance fournie
1. `aws:assertAwsResourceProperty`- Vérifiez que le type de périphérique du volume racine est EBS
1. `aws:assertAwsResourceProperty`- Vérifiez que le volume racine n'est pas crypté
1. `aws:assertAwsResourceProperty`- Vérifiez l'ID de sous-réseau fourni
1. (Utiliser le sous-réseau d'instance actuel) - Si \$1 SubnetId = SelectedInstanceSubnet \$1, exécutez `aws:createStack` pour déployer la pile EC2 Rescue CloudFormation
1. (Créer un nouveau VPC) - Si \$1 SubnetId = CreateNew VPC\$1, exécutez `aws:createStack` pour déployer la pile Rescue EC2 CloudFormation
1. (Utiliser un sous-réseau personnalisé) - Dans tous les autres cas :
`aws:assertAwsResourceProperty`- Vérifiez que le sous-réseau fourni se trouve dans la même zone de disponibilité que l'instance fournie
`aws:createStack`- Déployez la CloudFormation pile EC2 de secours
1. `aws:invokeLambdaFunction`- Procéder à une validation des entrées supplémentaire
1. `aws:executeAwsApi`- Mettez à jour la CloudFormation pile EC2 Rescue pour créer l'instance EC2 Rescue Helper
1. `aws:waitForAwsResourceProperty`- Attendez que la mise à jour EC2 de Rescue CloudFormation Stack soit terminée
1. `aws:executeAwsApi`- Décrivez la sortie de la CloudFormation pile EC2 Rescue pour obtenir l'ID de l'instance EC2 Rescue Helper
1. `aws:waitForAwsResourceProperty`- Attendez que l'instance EC2 Rescue Helper devienne une instance gérée
1. `aws:changeInstanceState`- Arrête l'instance fournie
1. `aws:changeInstanceState`- Arrête l'instance fournie
1. `aws:changeInstanceState`- Forcer l'arrêt de l'instance fournie
1. `aws:assertAwsResourceProperty`- Vérifiez la valeur CreatePre EC2 RescueBackup d'entrée
1. (Créer une sauvegarde avant EC2 Rescue) - Si \$1 CreatePre EC2 RescueBackup = vrai\$1
1. `aws:executeAwsApi`- Créez une sauvegarde AMI de l'instance fournie
1. `aws:createTags`- Marquez la sauvegarde de l'AMI
1. `aws:runCommand`- Installer EC2 Rescue sur l'instance EC2 Rescue Helper
1. `aws:executeAwsApi`- Détachez le volume racine de l'instance fournie
1. `aws:assertAwsResourceProperty`- Vérifiez la plate-forme d'instance fournie
1. (Instance Windows) :
`aws:executeAwsApi`- Attachez le volume racine à l'instance EC2 Rescue Helper sous le nom \$1xvdf\$1
`aws:sleep`- Dormez 10 secondes
`aws:runCommand`- Exécutez le script hors ligne fourni dans Powershell
1. (Instance Linux) :
`aws:executeAwsApi`- Attachez le volume racine à l'instance EC2 Rescue Helper sous la forme \$1/dev/sdf\$1
`aws:sleep`- Dormez 10 secondes
`aws:runCommand`- Exécute le script hors ligne fourni dans Bash
1. `aws:changeInstanceState`- Arrêtez l'instance EC2 Rescue Helper
1. `aws:changeInstanceState`- Forcer l'arrêt de l' EC2instance Rescue Helper
1. `aws:executeAwsApi`- Détachez le volume racine de l'instance EC2 Rescue Helper
1. `aws:executeAwsApi`- Rattachez le volume racine à l'instance fournie
1. `aws:assertAwsResourceProperty`- Vérifiez la valeur CreatePost EC2 RescueBackup d'entrée
1. (Créer une sauvegarde après le EC2 sauvetage) - Si \$1 CreatePost EC2 RescueBackup = vrai\$1
1. `aws:executeAwsApi`- Créez une sauvegarde AMI de l'instance fournie
1. `aws:createTags`- Marquez la sauvegarde de l'AMI
1. `aws:executeAwsApi`- Restaure l'état initial de suppression à la fin du volume racine de l'instance fournie
1. `aws:changeInstanceState`- Restaure l'état initial de l'instance fournie (en cours d'exécution/arrêtée)
1. `aws:deleteStack`- Supprimer la CloudFormation pile EC2 Rescue
**Sorties**
runScriptForSortie Linux
runScriptForWindows. Sortie
preScriptBackup.ImageId
postScriptBackup.ImageId
# `AWSSupport-TroubleshootActiveDirectoryReplication`
**Description**
Le **AWSSupport-TroubleshootActiveDirectoryReplication**runbook permet de résoudre les problèmes de réplication du contrôleur de domaine Microsoft Active Directory (AD) en vérifiant les paramètres courants sur une instance de contrôleur de domaine cible. Ce runbook exécute une série de PowerShell commandes sur l'instance de contrôleur de domaine fournie pour vérifier l'état actuel de la réplication et signaler les erreurs susceptibles de provoquer des problèmes de réplication de domaine. Le runbook peut éventuellement démarrer les services critiques de réplication (`Netlogon`,`RPCSS`,`W32Time`, et`KDC`) s'ils sont arrêtés et synchroniser l'heure du système en s'exécutant `w32tm /resync /force` sur l'instance cible.
**Important**
AWS Managed Microsoft AD n'entre pas dans le cadre de ce runbook.
**Important**
Pendant que l'automatisation exécute des commandes sur l'instance cible, des modifications sont apportées au système de fichiers de l'instance cible. Ces modifications incluent la création du répertoire des journaux (`$env:ProgramData\TroubleshootActiveDirectoryReplication`) et des fichiers de rapport.
**Fonctionnement**
Le runbook effectue les vérifications et actions suivantes :
+ Vérifie que l'instance cible exécute Windows et qu'elle est gérée par Systems Manager.
+ Exécute PowerShell des scripts pour vérifier la configuration et l'état de la réplication Active Directory.
+ Vérifie les paramètres ACL du groupe de sécurité et du réseau pour vérifier la connectivité des partenaires de réplication.
+ Résoudre les problèmes de synchronisation horaire et d'état des services critiques.
+ Télécharge les fichiers journaux dans le compartiment Amazon S3 spécifié à des fins d'analyse.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootActiveDirectoryReplication)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Windows
**Paramètres**
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:DescribeInstances`
+ `secretsmanager:GetSecretValu`e
+ `ssm:DescribeInstanceInformation`
+ `ssm:SendCommand`
+ `ssm:GetCommandInvocation`
+ `s3:GetBucketAcl`
+ `s3:GetBucketPolicy`
+ `s3:GetBucketPolicyStatus`
+ `s3:GetBucketPublicAccessBlock`
+ `s3:PutObject`
Exemple de politique :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"secretsmanager:GetSecretValue"
"ssm:DescribeInstanceInformation",
"ssm:SendCommand",
"ssm:GetCommandInvocation",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:PutObject"
],
"Resource": "*"
}
]
}
```
**AWS Secrets Manager configuration**
Le PowerShell script de réplication de vérification se connecte au contrôleur de domaine Microsoft Active Directory cible en récupérant le nom d'utilisateur et le mot de passe avec un appel d'exécution à AWS Secrets Manager. Suivez les étapes décrites dans [Créer un AWS Secrets Manager secret](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret.html) pour créer un nouveau AWS Secrets Manager secret. Assurez-vous que le nom d'utilisateur et le mot de passe sont enregistrés à l'aide d'une key/value paire au format`{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}`. Après avoir créé le AWS Secrets Manager secret, assurez-vous d'accorder l'`secretsmanager:GetSecretValue`autorisation sur l'ARN secret au rôle de profil d'instance IAM de votre contrôleur de domaine cible.
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootActiveDirectoryReplication/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootActiveDirectoryReplication/description)à Systems Manager sous Documents.
1. Sélectionnez **Execute automation** (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
+ Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Type : `AWS::IAM::Role::Arn`
+ **InstanceId (Obligatoire) :**
+ Description : (Obligatoire) L'ID de l'instance de contrôleur de domaine Amazon EC2 à laquelle vous souhaitez résoudre les problèmes de réplication Active Directory. Notez que l'instance fournie doit être un contrôleur de domaine.
+ Type : `AWS::EC2::Instance::Id`
+ **SecretsManagerArn (Obligatoire) :**
+ Description : (Obligatoire) L'ARN de votre AWS Secrets Manager secret contenant un nom d'utilisateur et un mot de passe Active Directory avec des autorisations d'administrateur d'entreprise ou équivalentes pour accéder à votre configuration de domaine et de forêt Active Directory. Assurez-vous que le nom d'utilisateur et le mot de passe sont enregistrés à l'aide d'une key/value paire au format`{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}`. Assurez-vous d'associer l'`secretsmanager:GetSecretValue`autorisation sur l'ARN secret au rôle de profil d'instance IAM de votre contrôleur de domaine cible.
+ Type : `String`
+ Modèle autorisé : `^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):secretsmanager:[a-z0-9-]{2,20}:[0-9]{12}:secret:[a-zA-Z0-9]{1}[a-zA-Z0-9\\/_+=.@-]{1,256}$`
+ **TimeSync (Facultatif) :**
+ Description : (Facultatif) Sélectionnez `Check` ou`Sync`. Si vous le sélectionnez`Check`, le runbook affiche l'état actuel de synchronisation horaire du système. Si cette option `Sync` est sélectionnée, le runbook tentera une resynchronisation forcée en s'exécutant `w32tm /resync /force` sur l'instance cible.
+ Type : `String`
+ Valeurs autorisées : `[Check, Sync]`
+ Valeur par défaut : `Check`
+ **ServiceAction (Facultatif) :**
+ Description : (Facultatif) Sélectionnez `Check` ou`Fix`. Si vous le sélectionnez`Check`, le runbook affiche l'état actuel des `Key Distribution Center (KDC)` services `Netlogon``Windows Time service (W32Time)`,`Remote Procedure Call (RPC) Service`, et. Si cette option `Fix` est sélectionnée, le runbook tentera de démarrer ces services si l'un d'entre eux est arrêté.
+ Type : `String`
+ Valeurs autorisées : `[Check, Fix]`
+ Valeur par défaut : `Check`
+ **LogDestination (Obligatoire) :**
+ Description : (Obligatoire) Le compartiment Amazon Amazon S3 de votre AWS compte pour télécharger les sorties de commande.
+ Type : `String`
1. Sélectionnez **Exécuter**.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **assertIfOperatingSystemIsWindows**:
Vérifie si le système d'exploitation de l'instance Amazon EC2 cible fournie est Windows.
+ **assertifInstanceIsSsmManaged**:
Garantit que l'instance Amazon EC2 est gérée par Systems Manager, sinon l'automatisation prend fin.
+ **Vérifiez la réplication** :
Exécute un PowerShell script sur l'instance de contrôleur de domaine spécifiée pour obtenir la configuration et l'état de réplication du domaine Active Directory.
+ **checkInstanceSgAndNacl**:
Vérifie si le trafic vers les partenaires de réplication est autorisé par le groupe de sécurité et l'ACL réseau associés à l'instance de contrôleur de domaine cible.
+ **Résoudre les problèmes de réplication** :
Exécute un PowerShell script pour résoudre les problèmes de synchronisation horaire et d'état des services critiques.
+ **Vérifiez S3 : BucketPublicStatus**
Vérifie si le compartiment Amazon S3 spécifié dans `LogDestination` autorise les autorisations d'accès anonymes ou publiques en lecture ou en écriture.
+ **`runUploadScript`**:
Exécute un PowerShell script pour télécharger l'archive du journal dans le compartiment AAmazon S3 spécifié dans le `LogDestination` paramètre et supprime le fichier journal archivé du système d'exploitation. Les fichiers journaux peuvent être utilisés pour le dépannage ou pour être partagés avec le AWS Support lors de la résolution de problèmes de réplication.
1. Une fois l'exécution terminée, consultez la section **Sorties** pour connaître les résultats détaillés de l'exécution.
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootActiveDirectoryReplication/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Support des flux de travail automatisés](https://aws.amazon.com/premiumsupport/technology/saw/)
# `AWSPremiumSupport-TroubleshootEC2DiskUsage`
**Description**
Le `AWSPremiumSupport-TroubleshootEC2DiskUsage` runbook vous aide à étudier et à résoudre éventuellement les problèmes liés à l'utilisation des disques root et non root d'une instance Amazon Elastic Compute Cloud (Amazon EC2). Dans la mesure du possible, le runbook tente de résoudre les problèmes en étendant le volume et son système de fichiers. Pour effectuer ces tâches, ce runbook orchestre l'exécution de plusieurs runbooks en fonction du système d'exploitation de l'instance affectée.
Le premier runbook, `AWSPremiumSupport-DiagnoseDiskUsageOnWindows` ou`AWSPremiumSupport-DiagnoseDiskUsageOnLinux`, détermine si les problèmes de disque peuvent être atténués en augmentant le volume.
Le second runbook, `AWSPremiumSupport-ExtendVolumesOnWindows` ou`AWSPremiumSupport-ExtendVolumesOnLinux`, utilise la sortie du premier runbook pour exécuter le code Python qui modifie le volume. Une fois le volume modifié, le runbook étend la partition et le système de fichiers des volumes concernés.
**Important**
L'accès aux `AWSPremiumSupport-*` runbooks nécessite un abonnement Business \$1 Support, Enterprise Support ou Unified Operations. Pour plus d'informations, voir [Comparer les AWS Support forfaits](https://aws.amazon.com/premiumsupport/plans/).
Ce document a été élaboré en collaboration avec AWS Managed Services (AMS). AMS vous aide à gérer votre AWS infrastructure de manière plus efficace et plus sûre. AMS fournit également une flexibilité opérationnelle, une sécurité et une conformité améliorées, une optimisation des capacités et une identification des économies de coûts. Pour de plus amples informations, veuillez consulter [AWS Managed Services](https://aws.amazon.com/managed-services/).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-TroubleshootEC2DiskUsage)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, Windows
**Paramètres**
+ InstanceId
Type : Chaîne
Valeurs autorisées : ^i- [a-z0-9] \$18,17\$1 \$1
Description : ID (obligatoire) de votre instance Amazon EC2.
+ VolumeExpansionEnabled
Type : Boolean
Description : (Facultatif) Indicateur permettant de contrôler si le document doit étendre les volumes et les partitions concernés.
Valeur par défaut : true
+ VolumeExpansionUsageTrigger
Type : Chaîne
Description : (Facultatif) Utilisation minimale de l'espace de partition requis pour déclencher l'extension (en pourcentage).
Valeurs autorisées : ^ [0-9] \$11,2\$1 \$1
Par défaut : 85
+ VolumeExpansionCapSize
Type : Chaîne
Description : (Facultatif) Taille maximale à laquelle le volume Amazon Elastic Block Store (Amazon EBS) sera augmenté (en GiB).
Valeurs autorisées : ^ [0-9] \$11,4\$1 \$1
Par défaut : 2048
+ VolumeExpansionGibIncrease
Type : Chaîne
Description : (Facultatif) Augmentation du volume en GiB. La plus forte augmentation nette entre VolumeExpansionGibIncrease et VolumeExpansionPercentageIncrease sera utilisée.
Valeurs autorisées : ^ [0-9] \$11,4\$1 \$1
Valeur par défaut : 20
+ VolumeExpansionPercentageIncrease
Type : Chaîne
Description : (Facultatif) Augmentation du pourcentage du volume. La plus forte augmentation nette entre VolumeExpansionGibIncrease et VolumeExpansionPercentageIncrease sera utilisée.
Valeurs autorisées : ^ [0-9] \$11,2\$1 \$1
Valeur par défaut : 20
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:DescribeVolumes`
+ `ec2:DescribeVolumesModifications`
+ `ec2:ModifyVolume`
+ `ec2:DescribeInstances`
+ `ec2:CreateImage`
+ `ec2:DescribeImages`
+ `ec2:DescribeTags`
+ `ec2:CreateTags`
+ `ec2:DeleteTags`
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ssm:DescribeAutomationStepExecutions`
+ `ssm:DescribeAutomationExecutions`
+ `ssm:SendCommand`
+ `ssm:DescribeInstanceInformation`
+ `ssm:ListCommands`
+ `ssm:ListCommandInvocations`
**Étapes de document**
1. `aws:assertAwsResourceProperty`- Vérifiez si l'instance est gérée par Systems Manager
1. `aws:executeAwsApi`- Décrit l'instance permettant d'obtenir la plateforme.
1. `aws:branch`- Automatisation des branches basée sur la plateforme de l'instance.
1. Si l'instance est Windows :
1. `aws:executeAutomation`- Exécutez le `AWSPremiumSupport-DiagnoseDiskUsageOnWindows` runbook afin de diagnostiquer les problèmes d'utilisation du disque sur l'instance.
1. `aws:executeAwsApi`- Récupère le résultat de l'automatisation précédente.
1. `aws:branch`- Branches basées sur les résultats des diagnostics, et si certains volumes peuvent être étendus pour atténuer l'alerte.
1. Aucun volume n'a besoin d'être étendu : mettez fin à l'automatisation.
1. Certains volumes doivent être étendus :
1. `aws:executeAwsApi`- Créez un Amazon Machine Image (AMI) de l'instance.
1. `aws:waitForAwsResourceProperty`- Il attend que l'AMIÉtat soit là. `available`
1. `aws:executeAutomation`- Exécutez le `AWSPremiumSupport-ExtendVolumesOnWindows` runbook afin d'effectuer la modification du volume ainsi que les étapes requises dans le système d'exploitation (OS) pour libérer le nouvel espace.
1. (La plate-forme n'est pas Windows) Si l'instance d'entrée n'est pas Windows :
1. `aws:executeAutomation`- Exécutez le `AWSPremiumSupport-DiagnoseDiskUsageOnLinux` runbook afin de diagnostiquer les problèmes d'utilisation du disque sur l'instance.
1. `aws:executeAwsApi`- Récupère le résultat de l'automatisation précédente.
1. `aws:branch`- Branches basées sur les résultats des diagnostics, et si certains volumes peuvent être étendus pour atténuer l'alerte.
1. Aucun volume n'a besoin d'être étendu : mettez fin à l'automatisation.
1. Certains volumes doivent être étendus :
1. `aws:executeAwsApi`- Créez AMI une instance.
1. `aws:waitForAwsResourceProperty`- Il attend que l'AMIÉtat soit là. `available`
1. `aws:executeAutomation`- Exécutez le `AWSPremiumSupport-ExtendVolumesOnLinux` runbook afin d'effectuer la modification du volume ainsi que les étapes requises dans le système d'exploitation pour libérer le nouvel espace.
**Sorties**
diagnoseDiskUsageAlertOnWindows.Sortie
extendVolumesOnWindows. Sortie
diagnoseDiskUsageAlertOnLinux.Sortie
extendVolumesOnSortie Linux
BackupAMILinux. ImageId
BackupAMIWindows. ImageId
# `AWSSupport-TroubleshootEC2InstanceConnect`
**Description**
`AWSSupport-TroubleshootEC2InstanceConnect`l'automatisation permet d'analyser et de détecter les erreurs empêchant la connexion à une instance Amazon Elastic Compute Cloud (Amazon EC2) à l'aide d'Amazon EC2 [Instance](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/connect-linux-inst-eic.html) Connect. Il identifie les problèmes liés à une Amazon Machine Image (AMI) non prise en charge, à une installation ou à une configuration de package manquantes au niveau du système d'exploitation, à des autorisations Gestion des identités et des accès AWS (IAM) manquantes ou à des problèmes de configuration réseau.
**Fonctionnement**
Le runbook prend l'ID de l'instance Amazon EC2, le nom d'utilisateur, le mode de connexion, l'adresse IP source CIDR, le port SSH et le nom de ressource Amazon (ARN) du rôle IAM ou de l'utilisateur rencontrant des problèmes avec Amazon EC2 Instance Connect. Il vérifie ensuite les [conditions requises](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ec2-instance-connect-prerequisites.html) pour se connecter à une instance Amazon EC2 à l'aide d'Amazon EC2 Instance Connect :
+ L'instance est en cours d'exécution et en bon état.
+ L'instance est située dans une AWS région prise en charge par Amazon EC2 Instance Connect.
+ L'AMI de l'instance est prise en charge par Amazon EC2 Instance Connect.
+ L'instance peut accéder au service de métadonnées d'instance (IMDSv2).
+ Le package Amazon EC2 Instance Connect est correctement installé et configuré au niveau du système d'exploitation.
+ La configuration réseau (groupes de sécurité, ACL réseau et règles de table de routage) permet la connexion à l'instance via Amazon EC2 Instance Connect.
+ Le rôle ou l'utilisateur IAM utilisé pour tirer parti d'Amazon EC2 Instance Connect a accès aux touches push de l'instance Amazon EC2.
**Important**
Pour vérifier l'AMI de l'instance, l'accessibilité d'IMDSv2 et l'installation du package Amazon EC2 Instance Connect, l'instance doit être gérée par SSM. Dans le cas contraire, il ignore ces étapes. Pour plus d'informations, consultez [Pourquoi mon instance Amazon EC2 ne s'affiche-t-elle pas en tant que nœud géré](https://repost.aws/knowledge-center/systems-manager-ec2-instance-not-appear) ?
La vérification du réseau détecte uniquement si le groupe de sécurité et les règles ACL du réseau bloquent le trafic lorsque le SourceIp CIDR est fourni en tant que paramètre d'entrée. Dans le cas contraire, seules les règles liées au SSH seront affichées.
Les connexions utilisant le point de [terminaison Amazon EC2 Instance Connect](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/connect-using-eice.html) ne sont pas validées dans ce runbook.
Pour les connexions privées, l'automatisation ne vérifie pas si le client SSH est installé sur la machine source et s'il peut atteindre l'adresse IP privée de l'instance.
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux
**Paramètres**
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:DescribeInstances`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeInternetGateways`
+ `iam:SimulatePrincipalPolicy`
+ `ssm:DescribeInstanceInformation`
+ `ssm:ListCommands`
+ `ssm:ListCommandInvocations`
+ `ssm:SendCommand`
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez au [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootEC2InstanceConnect/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootEC2InstanceConnect/description)dans la AWS Systems Manager console.
1. Sélectionnez Execute automation (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **InstanceId (Obligatoire) :**
L'ID de l'instance Amazon EC2 cible à laquelle vous n'avez pas pu vous connecter à l'aide d'Amazon EC2 Instance Connect.
+ **AutomationAssumeRole (Facultatif) :**
L'ARN du rôle IAM qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **Nom d'utilisateur (obligatoire) :**
Le nom d'utilisateur utilisé pour se connecter à l'instance Amazon EC2 à l'aide d'Amazon EC2 Instance Connect. Il est utilisé pour évaluer si l'accès IAM est accordé à cet utilisateur en particulier.
+ **EC2InstanceConnectRoleOrUser(Obligatoire) :**
L'ARN du rôle ou de l'utilisateur IAM qui utilise Amazon EC2 Instance Connect pour appuyer sur les touches de l'instance.
+ **SSHPort (Facultatif) :**
Le port SSH configuré sur l'instance Amazon EC2. La valeur par défaut est `22`. Le numéro de port doit être compris entre`1-65535`.
+ **SourceNetworkType (Facultatif) :**
Méthode d'accès réseau à l'instance Amazon EC2 :
+ **Navigateur :** vous vous connectez depuis la console AWS de gestion.
+ **Public :** vous vous connectez à l'instance située dans un sous-réseau public via Internet (par exemple, votre ordinateur local).
+ **Privé :** vous vous connectez via l'adresse IP privée de l'instance.
+ **SourceIpCIDR (facultatif) :**
Le CIDR source qui inclut l'adresse IP de l'appareil (tel que votre ordinateur local) à partir duquel vous vous connecterez à l'aide d'Amazon EC2 Instance Connect. Exemple : 172.31.48.6/32. Si aucune valeur n'est fournie avec le mode d'accès public ou privé, le runbook n'évaluera pas si le groupe de sécurité des instances Amazon EC2 et les règles ACL du réseau autorisent le trafic SSH. Il affichera plutôt les règles liées au SSH.
![\[Input parameters form for EC2 Instance Connect troubleshooting with various fields.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-ec2-instance-connect_input_parameters.png)
1. Sélectionnez Exécuter.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **AssertInitialState:**
Garantit que le statut de l'instance Amazon EC2 est en cours d'exécution. Dans le cas contraire, l'automatisation prend fin.
+ **GetInstanceProperties:**
Obtient les propriétés actuelles de l'instance Amazon EC2 (PlatformDetails, PublicIpAddress VpcId, SubnetId et MetadataHttpEndpoint).
+ **GatherInstanceInformationFromSMS :**
Obtient l'état du ping de l'instance Systems Manager et les détails du système d'exploitation si l'instance est gérée par SSM.
+ **CheckIfAWSRegionSoutenu :**
Vérifie si l'instance Amazon EC2 se trouve dans une région prise en charge par Amazon EC2 Instance Connect AWS .
+ **BranchOnIfAWSRegionSoutenu :**
Poursuit l'exécution si la AWS région est prise en charge par Amazon EC2 Instance Connect. Dans le cas contraire, il crée la sortie et quitte l'automatisation.
+ **CheckIfInstanceAMIIsSoutenu :**
Vérifie si l'AMI associée à l'instance est prise en charge par Amazon EC2 Instance Connect.
+ **BranchOnIfInstanceAMIIsSoutenu :**
Si l'AMI d'instance est prise en charge, elle effectue les vérifications au niveau du système d'exploitation, telles que l'accessibilité des métadonnées et l'installation et la configuration du package Amazon EC2 Instance Connect. Sinon, il vérifie si les métadonnées HTTP sont activées à l'aide de l' AWS API, puis passe à l'étape de vérification du réseau.
+ **Vérifiez IMDSReachability FromOs :**
Exécute un script Bash sur l'instance Linux Amazon EC2 cible pour vérifier si elle est capable d'atteindre le. IMDSv2
+ **Vérifiez EICPackage l'installation :**
Exécute un script Bash sur l'instance Linux Amazon EC2 cible pour vérifier si le package Amazon EC2 Instance Connect est correctement installé et configuré.
+ **Vérifiez SSHConfig FromOs :**
Exécute un script Bash sur l'instance Linux Amazon EC2 cible pour vérifier si le port SSH configuré correspond au paramètre d'entrée `. SSHPort `
+ **CheckMetadataHTTPEndpointIsEnabled:**
Vérifie si le point de terminaison HTTP du service de métadonnées d'instance est activé.
+ **Vérifiez EICNetwork l'accès :**
Vérifie si la configuration réseau (groupes de sécurité, ACL réseau et règles de table de routage) autorise la connexion à l'instance via Amazon EC2 Instance Connect.
+ **Vérifiez IAMRole OrUserPermissions :**
Vérifie si le rôle ou l'utilisateur IAM utilisé pour tirer parti d'Amazon EC2 Instance Connect a accès aux touches push de l'instance Amazon EC2 à l'aide du nom d'utilisateur fourni.
+ **MakeFinalOutput:**
Consolide le résultat de toutes les étapes précédentes.
1. Une fois terminé, consultez la section **Sorties** pour obtenir les résultats détaillés de l'exécution :
Exécution lorsque l'instance cible possède tous les prérequis requis :
![\[EC2 Instance Connect prerequisites check results showing successful validations for various configurations.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-ec2-instance-connect_outputs_all_requirements_found.png)
Exécution lorsque l'AMI de l'instance cible n'est pas prise en charge :
![\[Error message indicating EC2 Instance Connect does not support the specified AMI version.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-ec2-instance-connect_outputs_all_requirements_not_found.png)
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootEC2InstanceConnect/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
AWS documentation de service
+ [Comment résoudre les problèmes de connexion à mon instance Amazon EC2 à l'aide d'Amazon EC2 Instance Connect ?](https://repost.aws/knowledge-center/ec2-instance-connect-troubleshooting)
# `AWSSupport-TroubleshootLinuxMGNDRSAgentLogs`
**Description**
`AWSSupport-TroubleshootLinuxMGNDRSAgentLogs`Le runbook d'automatisation est utilisé pour détecter les erreurs courantes lors de l'installation des agents de réplication AWS Application Migration Service (AWS MGN) et AWS Elastic Disaster Recovery (AWS DRS) sur les serveurs Linux afin de migrer les serveurs sources vers le AWS cloud.
**Fonctionnement**
Le runbook `AWSSupport-TroubleshootLinuxMGNDRSAgentLogs` emprunte le chemin Amazon Simple Storage Service (Amazon S3) où AWS le `aws_replication_agent_installer.log` journal d'installation MGN AWS ou DRS est chargé en tant que paramètre. Il exécute ensuite les tâches suivantes :
+ **Validation :** vérifie si le fichier journal fourni est valide et s'il contient au moins une installation d'agent.
+ **Analyse syntaxique : analyse** minutieusement la dernière installation de l'agent dans le fichier journal pour détecter les erreurs AWS MGN ou AWS DRS connues.
+ **Détection et résolution des erreurs :** sur la base de l'analyse, il détecte et répertorie les erreurs ou les problèmes survenus au cours du processus d'installation de l'agent. Pour chaque erreur détectée, le runbook fournit des étapes détaillées pour aider à résoudre ou à atténuer le problème.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootLinuxMGNDRSAgentLogs)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux
**Paramètres**
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `s3:GetObject`
+ `s3:ListBucket`
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootLinuxMGNDRSAgentLogs/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootLinuxMGNDRSAgentLogs/description)à Systems Manager sous Documents.
1. Sélectionnez Execute automation (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
Amazon Resource Name (ARN) du rôle AWS Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **BucketName (Obligatoire) :**
Nom du compartiment Amazon S3 dans lequel le journal de l'agent de réplication est stocké.
+ **S3 ObjectKey (obligatoire) :**
La clé de l'objet Amazon S3 dans lequel le fichier journal du programme d'installation de l'agent de réplication est stocké. Exemple : si l'URI d'Amazon S3 est`s3://bucket_name/path/to/file/aws_replication_agent_installer.log`, vous devez le saisir`path/to/file/aws_replication_agent_installer.log`.
+ **ServiceName (Obligatoire) :**
Nom du service pour lequel l'agent de réplication est installé. Valeurs autorisées : `AWS MGN` ou `AWS DRS`
![\[Input parameters form for AWS replication agent with fields for role, bucket name, object key, and service.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/automation-troublshoot-linux-mngdrs-agent-logs_input_parameters.png)
1. Sélectionnez Exécuter.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **`ValidateInput`**
Garantit que le fichier journal de l'agent de réplication est valide et accessible à l'aide du nom du compartiment Amazon S3 et du chemin d'accès à l'objet fournis, puis renvoie le numéro d'octet de la dernière installation de l'agent.
+ **`CheckReplicationAgentLogErrors`**
Lit le fichier journal de l'agent de réplication à partir du dernier octet d'installation et recherche les erreurs AWS MGN ou AWS DRS connues.
+ **`MakeFinalOutput`**
Crée le résultat des vérifications précédentes, y compris les informations sur les erreurs détectées et les recommandations de résolution des problèmes.
1. Une fois terminé, consultez la section Sorties pour obtenir les résultats détaillés de l'exécution :
![\[Output showing validation step, error detection, and troubleshooting steps for kernel package installation.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/automation-troublshoot-linux-mngdrs-agent-logs_outputs.png)
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootLinuxMGNDRSAgentLogs/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
# `AWSSupport-TroubleshootRDP`
**Description**
Le `AWSSupport-TroubleshootRDP` runbook permet à l'utilisateur de vérifier ou de modifier les paramètres courants de l'instance cible susceptibles d'avoir un impact sur les connexions RDP (Remote Desktop Protocol), tels que le port RDP, l'authentification de la couche réseau (NLA) et les profils de pare-feu Windows. Le cas échéant, les modifications peuvent être appliquées hors connexion par l'arrêt et le redémarrage de l'instance, si l'utilisateur autorise explicitement la correction hors connexion. Par défaut, le runbook lit et affiche les valeurs des paramètres.
**Important**
Les modifications apportées aux paramètres RDP, au service RDP et aux profils de pare-feu Windows doivent être soigneusement examinées avant d'utiliser ce runbook.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDP)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Windows
**Paramètres**
+ Action
Type : String
Valeurs valides : CheckAll \$1 FixAll \$1 Personnalisé
Par défaut : Custom
Description : (Facultatif) [Personnalisé] Utilisez les valeurs de Firewall RDPServiceStartupType, RDPService Action, RDPPort Action, NLASetting Action et RemoteConnections pour gérer les paramètres. [CheckAll] Lisez les valeurs des paramètres sans les modifier. [FixAll] Restaurez les paramètres par défaut du RDP et désactivez le pare-feu Windows.
+ AllowOffline
Type : String
Valeurs valides : true \$1 false
Valeur par défaut : false
Description : (Facultatif) Fix only - définissez cette valeur sur true si vous autorisez la correction RDP hors connexion dans le cas où le dépannage en ligne échouerait ou dans le cas où l'instance fournie ne serait pas une instance gérée. Remarque : pour la correction hors connexion, SSM Automation arrête l'instance et crée une AMI avant de tenter toute opération.
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Pare-feu
Type : String
Valeurs valides : Vérifier \$1 Désactiver
Par défaut : Check
Description : (Facultatif) vérifiez ou désactivez le pare-feu Windows (tous les profils).
+ InstanceId
Type : String
Description : (Obligatoire) ID de l'instance pour laquelle les paramètres RDP doivent être dépannés.
+ NLASettingAction
Type : String
Valeurs valides : Vérifier \$1 Désactiver
Par défaut : Check
Description : (Facultatif) vérifiez ou désactivez l'authentification NLA (Network Layer Authentication).
+ RDPPortAction
Type : String
Valeurs valides : Vérifier \$1 Modifier
Par défaut : Check
Description : (Facultatif) vérifiez le port utilisé pour les connexions RDP ou remplacez le port RDP par 3389 et redémarrez le service.
+ RDPServiceAction
Type : String
Valeurs valides : Vérifier \$1 Démarrer \$1 Redémarrer \$1 Forcer le redémarrage
Par défaut : Check
Description : (Facultatif) Vérifiez, démarrez, redémarrez ou redémarrez de force le service RDP (). TermService
+ RDPServiceStartupType
Type : String
Valeurs valides : Check \$1 Auto
Par défaut : Check
Description : (Facultatif) vérifiez ou définissez le service RDP pour commencer automatiquement au démarrage de Windows.
+ RemoteConnections
Type : String
Valeurs valides : Vérifier \$1 Activer
Par défaut : Check
Description : (Facultatif) Action à effectuer sur le TSConnections paramètre FDeny : Vérifier, Activer.
+ S3 BucketName
Type : String
Description : (Facultatif) hors connexion uniquement - nom du compartiment S3 de votre compte dans lequel vous souhaitez charger les journaux de dépannage. Assurez-vous que la stratégie de compartiment n'accorde pas des autorisations en lecture/écriture superflues pour les tiers qui n'ont pas besoin d'accéder aux journaux collectés.
+ SubnetId
Type : String
Par défaut : SelectedInstanceSubnet
Description : (Facultatif) Hors ligne uniquement : ID de sous-réseau de l'instance EC2 Rescue utilisée pour effectuer le dépannage hors ligne. Si aucun ID de sous-réseau n'est spécifié, AWS Systems Manager Automation créera un nouveau VPC. IMPORTANT : Le sous-réseau doit se trouver dans la même zone de disponibilité que les points de InstanceId terminaison SSM et il doit autoriser l'accès à ceux-ci.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
Il est recommandé que l' EC2 instance recevant la commande ait un rôle IAM associé à la politique gérée par **SSMManagedInstanceCoreAmazon**. Pour la correction en ligne, l'utilisateur doit avoir au moins **ssm : DescribeInstanceInformation**, **ssm : StartAutomationExecution et **ssm : SendCommand**** pour exécuter l'automatisation et envoyer la commande à l'instance, plus **ssm : GetAutomationExecution** pour pouvoir lire le résultat de l'automatisation. Pour la correction hors ligne, l'utilisateur doit avoir au moins **ssm : DescribeInstanceInformation**, **ssm :, ec2 : StartAutomationExecution DescribeInstances****, plus **ssm : GetAutomationExecution**** pour pouvoir lire la sortie d'automatisation. `AWSSupport-TroubleshootRDP`appels `AWSSupport-ExecuteEC2Rescue` pour effectuer la correction hors ligne : veuillez vérifier les autorisations pour vous `AWSSupport-ExecuteEC2Rescue` assurer que vous pouvez exécuter l'automatisation avec succès.
**Étapes de document**
1. `aws:assertAwsResourceProperty`- Vérifiez si l'instance est une Windows Server instance
1. `aws:assertAwsResourceProperty`- Vérifiez si l'instance est une instance gérée
1. (Dépannage en ligne) S'il s'agit d'une instance gérée :
1. `aws:assertAwsResourceProperty`- Vérifiez la valeur d'action fournie
1. (Vérification en ligne) Si l'**action = CheckAll**, alors :
`aws:runPowerShellScript`- Exécute le PowerShell script pour obtenir l'état des profils du pare-feu Windows.
`aws:executeAutomation`- Appels `AWSSupport-ManageWindowsService` pour connaître l'état du service RDP.
`aws:executeAutomation`- Appels `AWSSupport-ManageRDPSettings` pour obtenir les paramètres RDP.
1. (Correctif en ligne) Si l'**action = FixAll**, alors :
`aws:runPowerShellScript`- Exécute le PowerShell script pour désactiver tous les profils de pare-feu Windows.
`aws:executeAutomation`- Appels `AWSSupport-ManageWindowsService` pour démarrer le service RDP.
`aws:executeAutomation`- Appels `AWSSupport-ManageRDPSettings` pour activer les connexions à distance et désactiver le NLA.
1. (Gestion en ligne) Si **Action = Custom** :
`aws:runPowerShellScript`- Exécute le PowerShell script pour gérer les profils du pare-feu Windows.
`aws:executeAutomation`- Appels `AWSSupport-ManageWindowsService` pour gérer le service RDP.
`aws:executeAutomation`- Appels `AWSSupport-ManageRDPSettings` pour gérer les paramètres RDP.
1. (Correction hors connexion) Si l'instance n'est pas une instance gérée :
1. `aws:assertAwsResourceProperty`- **AllowOffline Assertion = vrai**
1. `aws:assertAwsResourceProperty`- Affirmer **une action = FixAll**
1. `aws:assertAwsResourceProperty`- Affirmer la valeur de SubnetId
(Utilisez le sous-réseau de l'instance fournie) S'il s' SubnetId agit de SELECTED\$1INSTANCE\$1SUBNET
`aws:executeAwsApi`- Récupère le sous-réseau de l'instance actuelle.
`aws:executeAutomation`- Exécuté `AWSSupport-ExecuteEC2Rescue` avec le sous-réseau de l'instance fournie.
1. (Utilisez le sous-réseau personnalisé fourni) S'il ne s' SubnetId agit pas de SELECTED\$1INSTANCE\$1SUBNET
`aws:executeAutomation`- Exécuter `AWSSupport-ExecuteEC2Rescue` avec SubnetId la valeur fournie.
**Sorties**
manageFirewallProfiles.Sortie
gérer les RDPService paramètres. Sortie
gérer RDPSettings .Output
checkFirewallProfiles.Sortie
cochez RDPService Settings.Output
check RDPSettings .Output
disableFirewallProfiles.Sortie
Restaurer RDPService les paramètres par défaut. Sortie
Restaurer RDPSettings la sortie par défaut
dépanner .Output RDPOffline
dépanner .Output RDPOffline WithSubnetId
# `AWSSupport-TroubleshootSSH`
**Description**
Le `AWSSupport-TroubleshootSSH` runbook installe l'outil Amazon EC2 Rescue pour Linux, puis utilise l'outil EC2 Rescue pour vérifier ou tenter de résoudre les problèmes courants qui empêchent une connexion à distance à la machine Linux via SSH. Le cas échéant, les modifications peuvent être appliquées hors connexion par l'arrêt et le redémarrage de l'instance, si l'utilisateur autorise explicitement la correction hors connexion. Par défaut, le runbook fonctionne en mode lecture seule.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootSSH)
Pour plus d'informations sur l'utilisation du `AWSSupport-TroubleshootSSH` runbook, consultez cette [rubrique de `AWSSupport-TroubleshootSSH` dépannage](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-ssh-errors-automation-workflow/) du Support AWS Premium.
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux
**Paramètres**
+ Action
Type : String
Valeurs valides : CheckAll \$1 FixAll
Par défaut : CheckAll
Description : (Obligatoire) spécifiez si vous souhaitez vérifier les problèmes sans les corriger ou vérifier et corriger automatiquement les problèmes détectés.
+ AllowOffline
Type : String
Valeurs valides : true \$1 false
Valeur par défaut : false
Description : (Facultatif) Fix only - définissez cette valeur sur true si vous autorisez la correction SSH hors connexion dans le cas où le dépannage en ligne échouerait ou dans le cas où l'instance fournie ne serait pas une instance gérée. Remarque : pour la correction hors connexion, SSM Automation arrête l'instance et crée une AMI avant de tenter toute opération.
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : String
Description : ID (obligatoire) de votre EC2 instance pour Linux.
+ S3 BucketName
Type : String
Description : (Facultatif) hors connexion uniquement - nom du compartiment S3 de votre compte dans lequel vous souhaitez charger les journaux de dépannage. Assurez-vous que la stratégie de compartiment n'accorde pas des autorisations en lecture/écriture superflues pour les tiers qui n'ont pas besoin d'accéder aux journaux collectés.
+ SubnetId
Type : String
Par défaut : SelectedInstanceSubnet
Description : (Facultatif) Hors ligne uniquement : ID de sous-réseau de l'instance EC2 Rescue utilisée pour effectuer le dépannage hors ligne. Si aucun ID de sous-réseau n'est spécifié, AWS Systems Manager Automation créera un nouveau VPC.
**Important**
Le sous-réseau doit se trouver dans la même zone de disponibilité que InstanceId, et il doit autoriser l'accès aux points de terminaison SSM.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
Il est recommandé que l' EC2 instance recevant la commande ait un rôle IAM associé à la politique gérée par **SSMManagedInstanceCoreAmazon**. Pour la correction en ligne, l'utilisateur doit avoir au moins **ssm : DescribeInstanceInformation**, **ssm : StartAutomationExecution et **ssm : SendCommand**** pour exécuter l'automatisation et envoyer la commande à l'instance, plus **ssm : GetAutomationExecution** pour pouvoir lire le résultat de l'automatisation. Pour la correction hors ligne, l'utilisateur doit avoir au moins **ssm : DescribeInstanceInformation**, **ssm :, ec2 : StartAutomationExecution DescribeInstances****, plus **ssm : GetAutomationExecution**** pour pouvoir lire la sortie d'automatisation. `AWSSupport-TroubleshootSSH`appels `AWSSupport-ExecuteEC2Rescue` pour effectuer la correction hors ligne : veuillez vérifier les autorisations pour vous `AWSSupport-ExecuteEC2Rescue` assurer que vous pouvez exécuter l'automatisation avec succès.
**Étapes de document**
1. `aws:assertAwsResourceProperty`- Vérifiez si l'instance est une instance gérée
1. (Correction en ligne) Si l'instance est une instance gérée :
1. `aws:configurePackage`- Installez EC2 Rescue pour Linux via`AWS-ConfigureAWSPackage`.
1. `aws:runCommand`- Exécutez le script bash pour exécuter EC2 Rescue pour Linux.
1. (Correction hors connexion) Si l'instance n'est pas une instance gérée :
1. `aws:assertAwsResourceProperty`- **AllowOffline Assertion = vrai**
1. `aws:assertAwsResourceProperty`- Affirmer **une action = FixAll**
1. `aws:assertAwsResourceProperty`- Affirmer la valeur de SubnetId
1. (Utilisez le sous-réseau de l'instance fournie) C' SubnetId est `aws:executeAutomation` à SelectedInstanceSubnet nous de l'exécuter `AWSSupport-ExecuteEC2Rescue` avec le sous-réseau de l'instance fournie.
1. (Utilisez le sous-réseau personnalisé fourni) SubnetId Il n'est pas SelectedInstanceSubnet utilisé `aws:executeAutomation` pour exécuter `AWSSupport-ExecuteEC2Rescue` avec SubnetId la valeur fournie.
**Sorties**
troubleshootSSH.Output
dépanner .Output SSHOffline
dépanner .Output SSHOffline WithSubnetId
# `AWSSupport-TroubleshootSUSERegistration`
**Description**
Le `AWSSupport-TroubleshootSUSERegistration` runbook vous aide à comprendre pourquoi enregistrer un Amazon Elastic Compute Cloud (Amazon EC2) SUSE Linux Enterprise Server échec de l'instance avec SUSE Update Infrastructure. Le résultat d'automatisation fournit des étapes pour résoudre le problème ou vous aide à le résoudre. Si l'instance passe toutes les vérifications pendant l'automatisation, elle est enregistrée auprès de SUSE Update Infrastructure.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootSUSERegistration)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : String
Description : (Obligatoire) L'ID de l' EC2 instance Amazon que vous souhaitez dépanner.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:DescribeInstanceProperties`
+ `ssm:DescribeInstanceInformation`
+ `ssm:ListCommandInvocations`
+ `ssm:SendCommand`
+ `ssm:ListCommands`
**Étapes de document**
+ `aws:assertAwsResourceProperty`- Vérifie si l' EC2 instance Amazon est gérée par AWS Systems Manager.
+ `aws:runCommand`- Vérifie si la plateforme d' EC2 instance Amazon est SLES.
+ `aws:runCommand`- Vérifie si la `cloud-regionsrv-client` version du package est supérieure ou égale à la version 9.0.10 requise.
+ `aws:runCommand`- Vérifie si le lien symbolique du produit de base est rompu et répare le lien s'il est rompu.
+ `aws:runCommand`- Vérifie si le fichier hosts (`/etc/hosts`) contient des enregistrements pour`smt-ec2-suscloud.net`. L'automatisation supprime toutes les entrées dupliquées.
+ `aws:runCommand`- Vérifie si la `curl` commande est installée.
+ `aws:runCommand`- Vérifie si l' EC2 instance Amazon peut accéder à l'adresse du service de métadonnées d'instance (IMDS) 169.254.169.254.
+ `aws:runCommand`- Vérifie si l' EC2 instance Amazon possède un code de facturation ou un code AWS Marketplace produit.
+ `aws:runCommand`- Vérifie si l' EC2 instance Amazon peut atteindre au moins un serveur régional via HTTPS.
+ `aws:runCommand`- Vérifie si l' EC2 instance Amazon peut accéder aux serveurs de l'outil de gestion des abonnements (SMT) via HTTP.
+ `aws:runCommand`- Vérifie si l' EC2 instance Amazon peut accéder aux serveurs de l'outil de gestion des abonnements (SMT) via HTTPS.
+ `aws:runCommand`- Vérifie si l' EC2 instance Amazon peut accéder à l'`smt-ec2.susecloud.net`adresse via HTTPS.
+ `aws:runCommand`- Enregistre l' EC2 instance Amazon auprès de SUSE Update Infrastructure.
+ `aws:executeScript`- Recueille et affiche le résultat de toutes les étapes précédentes.
# `AWSSupport-TroubleshootWindowsPerformance`
**Description**
Le runbook `AWSSupport-TroubleshootWindowsPerformance` permet de résoudre les problèmes de performances récurrents sur l'instance Windows Amazon Elastic Compute Cloud (Amazon EC2). Le runbook capture les journaux de l'instance cible et analyse les indicateurs de performance du processeur, de la mémoire, du disque et du réseau. L'automatisation peut éventuellement capturer un vidage du processus pour vous aider à déterminer la cause potentielle de la dégradation des performances. L'automatisation capture également les journaux des événements et du système à l'aide de l'[https://docs.aws.amazon.com//AWSEC2/latest/WindowsGuide/Windows-Server-EC2Rescue.html](https://docs.aws.amazon.com//AWSEC2/latest/WindowsGuide/Windows-Server-EC2Rescue.html)outil le plus récent, si vous autorisez ce runbook à l'installer.
**Fonctionnement**
Le runbook exécute les étapes suivantes :
+ Vérifie les prérequis de l'instance Amazon EC2.
+ Génère des journaux de performance sur le disque racine de l'instance Windows Amazon EC2
+ Stocke les journaux capturés dans un dossier `C:\ProgramData\Amazon\SSM\TroubleshootWindowsPerformance`
+ Si un compartiment Amazon Simple Storage Service (Amazon S3) est fourni et que le rôle d'automatisation assume les autorisations requises, les journaux capturés sont chargés dans le compartiment Amazon S3.
+ Installe le dernier `EC2Rescue` outil sur l'instance Windows Amazon EC2 pour capturer les événements et les journaux système si vous choisissez de l'installer, mais il n'analyse pas le vidage du processus ni les journaux capturés par. `EC2Rescue`
**Important**
Pour exécuter ce runbook, l'instance Windows Amazon EC2 doit être gérée par. AWS Systems Manager Pour plus d'informations, consultez [Pourquoi mon instance Amazon EC2 ne s'affiche-t-elle pas en tant que nœud géré](https://repost.aws/knowledge-center/systems-manager-ec2-instance-not-appear) ?
Pour exécuter ce runbook, l'instance Windows Amazon EC2 doit être exécutée sur les versions Windows 8.1/Windows Server 2012 R2 (6.3) ou plus récentes, 4.0 ou PowerShell supérieures. Pour plus d'informations, voir [Version du système d'exploitation Windows](https://learn.microsoft.com/en-us/windows/win32/sysinfo/operating-system-version).
Pour générer des journaux de performance, au moins 10 Go d'espace libre sur le périphérique racine sont nécessaires. Si la taille du disque racine est supérieure à 100 Go, l'espace libre doit être supérieur à 10 % de la taille du disque. Si vous videz un processus en cours d'exécution, l'espace libre doit être supérieur à 10 Go plus la taille de mémoire totale consommée par le processus lorsque celui-ci consomme plus de 10 Go de mémoire.
Les journaux générés sur le périphérique racine ne sont pas supprimés automatiquement.
Le runbook ne désinstalle pas l'`EC2Rescue`outil. Pour plus d'informations, consultez la section [Utiliser `EC2Rescue` pour Windows Server](https://docs.aws.amazon.com//AWSEC2/latest/WindowsGuide/Windows-Server-EC2Rescue.html).
Il est recommandé d'exécuter cette automatisation en cas d'impact sur les performances. Vous pouvez également l'exécuter périodiquement à l'aide d'une association AWS Systems Manager State Manager ou en planifiant des fenêtres de AWS Systems Manager maintenance.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootWindowsPerformance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Windows
**Paramètres**
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:DescribeInstances`
+ `ssm:DescribeAutomationExecutions`
+ `ssm:DescribeInstanceInformation`
+ `ssm:GetAutomationExecution`
+ `ssm:ListCommands`
+ `ssm:ListCommandInvocations`
+ `ssm:SendCommand`
+ `s3:ListBucket`
+ `s3:GetEncryptionConfiguration`
+ `s3:GetBucketPublicAccessBlock`
+ `s3:GetBucketPolicyStatus`
+ `s3:PutObject`
+ `s3:GetBucketAcl`
+ `s3:GetAccountPublicAccessBlock`
*(Facultatif) Le rôle IAM attaché au profil d'instance ou l'utilisateur IAM configuré sur l'instance nécessite les actions suivantes pour télécharger les journaux dans le compartiment Amazon S3 spécifié pour le paramètre : `LogUploadBucketName`*
+ `s3:PutObject`
+ `s3:GetObject`
+ `s3:ListBucket`
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootWindowsPerformance/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootWindowsPerformance/description)à Systems Manager sous Documents.
1. Sélectionnez Execute automation (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
Amazon Resource Name (ARN) du rôle AWS Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **InstanceId (Obligatoire) :**
L'ID de l'instance Windows Amazon EC2 cible sur laquelle vous souhaitez exécuter l'automatisation. L'instance doit être gérée par Systems Manager pour exécuter l'automatisation.
+ **CaptureProcessDump (Facultatif) :**
Type de vidage du processus à capturer. L'automatisation peut capturer un vidage du processus susceptible d'avoir un impact sur les performances au début de l'automatisation. Le volume racine de l'instance nécessite au moins 10 Go d'espace libre (plus de 10 % de la taille du disque lorsque la taille du volume racine est supérieure à 100 Go, et 10 Go plus la taille de mémoire totale consommée par le processus lorsque le processus consomme plus de 10 Go de mémoire).
+ **LogCaptureDuration (Facultatif) :**
Le nombre de minutes, entre `1` et`15`, pendant lesquelles cette automatisation capturera les journaux tant que le problème persiste. La valeur par défaut est `5`.
+ **LogUploadBucketName (Facultatif) :**
Le compartiment Amazon S3 de votre compte dans lequel vous souhaitez télécharger les journaux. Le compartiment doit être configuré avec le chiffrement côté serveur (SSE), et la politique du compartiment ne doit pas accorder d' read/write autorisations inutiles aux parties qui n'ont pas besoin d'accéder aux journaux capturés. L'instance Windows Amazon EC2 doit avoir accès au compartiment Amazon S3.
+ **Installation EC2 RescueTool (facultatif) :**
Définissez ce paramètre `Yes` sur pour permettre au runbook d'installer la dernière version de l'`EC2Rescue`outil permettant de capturer les événements Windows et les journaux système. La valeur par défaut est `No`.
+ **Reconnaissance (obligatoire) :**
Lisez les détails complets des actions effectuées par ce manuel d'automatisation et, si vous êtes d'accord, tapez`Yes, I understand and acknowledge`.
![\[Input parameters form for troubleshooting Amazon EC2 Windows instance performance issues.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-windows-performance_input_parameters.png)
1. Sélectionnez Exécuter.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **`CheckConcurrency:`**
Garantit qu'il n'y a qu'une seule exécution de ce runbook ciblant l'instance. Si le runbook trouve une autre exécution ciblant la même instance, il renvoie une erreur et se termine.
+ **`AssertInstanceIsWindows:`**
Affirme que l'instance Amazon EC2 s'exécute sur le système d'exploitation Windows. Dans le cas contraire, l'automatisation prend fin.
+ **`AssertInstanceIsManagedInstance:`**
Affirme que l'instance Amazon EC2 est gérée par. AWS Systems Manager Dans le cas contraire, l'automatisation prend fin.
+ **`VerifyPrerequisites:`**
Vérifie la PowerShell version sur le système d'exploitation de l'instance et garantit que l'instance peut être connectée via Systems Manager pour exécuter des PowerShell commandes. Cette automatisation prend en charge les versions PowerShell 4.0 et supérieures exécutées sur les versions Windows 8.1 /Server 2012 R2 (6.3) ou plus récentes. Si la version est plus ancienne, l'automatisation échoue. Lorsque vous choisissez de télécharger des journaux dans le compartiment Amazon S3, cette automatisation vérifie que le PowerShell module AWS Tools for est disponible. Dans le cas contraire, l'automatisation prend fin.
+ **`BranchOnProcessDump:`**
Branches basées sur le fait que vous l'avez configuré pour capturer le vidage des processus ayant un impact sur les performances.
+ **`CaptureProcessDump:`**
Vérifie si l'instance dispose de suffisamment d'espace pour exécuter cette automatisation (lorsque vous choisissez Highest CPU/Memory).
+ **`CapturePerformanceLogs:`**
Vérifie à nouveau l'espace disque et exécute le PowerShell script sur l'instance pour créer des compteurs de performances et démarrer la journalisation de Performance Monitor et Windows Performance Recorder. Le script s'arrête une fois que la valeur définie `LogCaptureDuration` est atteinte.
+ **`SummarizePerformanceLogs:`**
Résume le rapport XML généré à l'étape précédente`CapturePerformanceLogs`, pour trouver le processus responsable consommant le plus de WorkingSet 64 (mémoire) et le % de temps processeur (CPU) indiqués en sortie sur l'automatisation. Il génère des informations similaires pour l'utilisation de l'interface réseau LogicalDisk TCPv4, de la mémoire IPv4, UDPv4 et les enregistre `analysis_output.log` dans le dossier de sortie.
+ **`BranchOnInstallEC2Rescue:`**
Branches si vous le configurez pour installer le dernier `EC2Rescue` outil dans l'instance Amazon EC2.
+ **`InstallEC2RescueTool:`**
Installe l'`EC2Rescue`outil dans le système d'exploitation de l'instance pour capturer les `EC2Rescue` journaux à l'aide `AWS-ConfigureAWSPackage` de.
+ **`RunEC2RescueTool:`**
Exécute l'`EC2Rescue`outil dans le système d'exploitation de l'instance pour capturer tous les journaux nécessaires. `EC2Rescue`capture uniquement les journaux nécessaires pour économiser de l'espace.
+ **`BranchOnIfS3BucketProvided:`**
Branches basées sur les informations saisies par l'utilisateur `LogUploadBucketName` pour voir s'il existe un nom de compartiment disponible pour le téléchargement des journaux.
+ **`GetS3BucketPublicStatus:`**
Détermine si un compartiment Amazon S3 est fourni et, dans l'affirmative, confirme que le compartiment Amazon S3 n'est pas public et qu'il est configuré avec SSE.
+ **`UploadLogResult:`**
Télécharge les journaux dans le compartiment Amazon S3 fourni. Si la PowerShell version est 5.0 ou supérieure, elle compresse les journaux dans une archive ZIP et les télécharge. Il supprime le fichier ZIP une fois le téléchargement terminé. Si la PowerShell version est inférieure à 5.0, elle télécharge les fichiers directement dans un dossier.
+ **`CleanUpLogsOnFailure:`**
Nettoie tous les journaux générés par l'`CapturePerformanceLogs`étape en cas d'échec. L'`CleanUpLogsOnFailure`étape peut échouer ou expirer si l'agent SSM ne fonctionne pas correctement ou si le système Windows ne répond pas.
1. Une fois terminé, consultez la section Sorties pour obtenir les résultats détaillés de l'exécution :
Exécution lorsque l'instance cible possède tous les prérequis requis.
![\[Output logs showing performance capture process, EC2Rescue completion, and top CPU/memory usage processes.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-windows-performance_outputs_all_prerequisites_met.png)
Exécution lorsque l'instance cible se trouve sur une plate-forme Linux et que l'exécution a échoué. Vous devez sélectionner l'ID de l'étape pour voir les détails de l'échec.
![\[Execution status showing failed overall status with 2 executed steps, 1 succeeded and 1 failed.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-windows-performance_outputs_failed_linux_instance.png)
Les détails de l'échec de l'étape`AssertInstanceIsWindows`.
![\[Failure details showing verification error for Linux property value instead of Windows.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-windows-performance_outputs_assert_windows_fail.png)
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootWindowsPerformance/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
# `AWSSupport-TroubleshootWindowsUpdate`
**Description**
Le `AWSSupport-TroubleshootWindowsUpdate` runbook est utilisé pour identifier les problèmes susceptibles d'échouer lors des mises à jour Windows pour les instances Windows Amazon Elastic Compute Cloud (Amazon EC2).
**Fonctionnement**
Le runbook exécute les étapes suivantes :
+ Vérifie si l'instance Amazon EC2 cible est gérée par. AWS Systems Manager
+ Vérifie si les versions de l' AWS Systems Manager agent (agent SSM) et de Windows Server sont prises en charge pour les opérations de correction de Systems Manager.
+ Vérifie l'espace disque disponible recommandé pour les mises à jour Windows et vérifie si un redémarrage est en attente. Un redémarrage en attente indique généralement que des mises à jour sont en attente et qu'un redémarrage est nécessaire avant d'effectuer des mises à jour supplémentaires.
+ Configure les paramètres du proxy au niveau du système d'exploitation, ce qui peut aider à résoudre les problèmes de connectivité.
+ Effectue un test de connectivité des terminaux Amazon Simple Storage Service (Amazon S3) et appelle [https://docs.aws.amazon.com//systems-manager/latest/APIReference/API_GetDeployablePatchSnapshotForInstance.html](https://docs.aws.amazon.com//systems-manager/latest/APIReference/API_GetDeployablePatchSnapshotForInstance.html)l'opération API pour récupérer l'instantané actuel de la ligne de base de correctifs utilisée par le nœud géré.
+ En cas d'échec de la connexion, offre la possibilité d'exécuter le `AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2` runbook pour analyser la connectivité de l'instance aux points de terminaison Amazon S3.
+ Valide la configuration des mises à jour Windows et teste Windows Server Update Services (WSUS) (le cas échéant).
**Important**
Les contrôleurs de domaine Active Directory ne sont pas pris en charge.
Windows Server version 2008 R2 ou les versions antérieures ne sont pas prises en charge.
Les versions 1.2.371 ou antérieures de l'agent SSM ne sont pas prises en charge.
Le `AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2` runbook permet [https://docs.aws.amazon.com//vpc/latest/reachability/what-is-reachability-analyzer.html](https://docs.aws.amazon.com//vpc/latest/reachability/what-is-reachability-analyzer.html)d'analyser la connectivité réseau entre une source et un point de terminaison de service. Vous êtes facturé par analyse effectuée entre une source et une destination. Pour plus de détails, consultez la section [Tarification d'Amazon VPC.](https://aws.amazon.com/vpc/pricing/)
Le `AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2` runbook n'est pas disponible dans toutes les régions où Systems Manager est pris en charge.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootWindowsUpdate)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Windows
**Paramètres**
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ssm:DescribeInstanceInformation`
+ `ssm:SendCommand`
+ `ssm:ListCommandInvocations`
+ `ssm:ListCommands`
**Note**
Pour exécuter le runbook enfant`AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2`, ajoutez les autorisations répertoriées dans [ce document](https://docs.aws.amazon.com//systems-manager-automation-runbooks/latest/userguide/automation-awssupport-analyzeawsendpointreachabilityfromec2.html).
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootWindowsUpdate/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootWindowsUpdate/description)à Systems Manager sous Documents.
1. Sélectionnez Execute automation (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
Amazon Resource Name (ARN) du rôle AWS Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **InstanceId (Obligatoire) :**
Entrez l'ID de l'instance Amazon EC2 sur laquelle la mise à jour Windows a échoué.
+ **RunVpcReachabilityAnalyzer(Facultatif) :**
Spécifiez `true` l'exécution de l'`AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2`automatisation si un problème réseau est déterminé par les vérifications étendues ou si l'ID d'instance spécifié n'est pas une instance gérée. Pour plus d'informations sur cette automatisation des enfants, consultez la [documentation](https://docs.aws.amazon.com//systems-manager-automation-runbooks/latest/userguide/automation-awssupport-analyzeawsendpointreachabilityfromec2.html). La valeur par défaut est `false`.
+ **RetainVpcReachabilityAnalysis(Facultatif) :**
Pertinent uniquement si `RunVpcReachabilityAnalyzer` c'est le cas`true`. Spécifiez `true` pour conserver le chemin d'aperçu du réseau et les analyses associées créées par`Reachability Analyzer`. Par défaut, ces ressources sont supprimées après une analyse réussie. Si vous choisissez de conserver l'analyse, le runbook enfant ne la supprime pas et vous pouvez la visualiser dans la console Amazon VPC. Le lien vers la console sera disponible dans la sortie d'automatisation de l'enfant. La valeur par défaut`false`.
![\[Input parameters form for an AWS EC2 instance with fields for InstanceId and automation options.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-windows-update_input_parameters.png)
1. Sélectionnez Exécuter.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **`getWindowsServerAndSSMAgentVersion:`**
Vérifie que l'instance cible est gérée par AWS Systems Manager et obtient des informations sur la version de l'agent SSM et la version de Windows.
+ **`assertifInstanceIsSsmManaged:`**
Garantit que l'instance Amazon EC2 est gérée par AWS Systems Manager (SSM), sinon l'automatisation prend fin.
+ **`CheckProxy:`**
Vérifie tous les types de proxy pour l'instance Windows.
+ **`CheckPrerequisites:`**
Obtient la version de l'agent SSM et la version de Windows, et détermine s'il s'agit d'un contrôleur de domaine Active Directory (DC). Si l'instance est un contrôleur de domaine ou si la version de l'agent SSM ou de Windows n'est pas prise en charge, le runbook s'arrête.
+ **`CheckDiskSpace:`**
Obtient et valide l'espace disque disponible sur l'instance Windows s'il est suffisant pour effectuer la mise à jour Windows.
+ **`CheckPendingReboot:`**
Vérifie s'il y a un redémarrage en attente sur l'instance Windows.
+ **`CheckS3Connectivity:`**
Vérifie si l'instance peut atteindre les points de terminaison Amazon S3 pour`Patchbaseline`.
+ **`branchOnRunVpcReachabilityAnalyzer:`**
Si `RunVpcReachabilityAnalyzer` c'est vrai, il branche l'automatisation pour effectuer une analyse plus approfondie pour le débogage de la connectivité Amazon S3.
+ **`GenerateEndpoints:`**
Génère un point de terminaison pour effectuer un contrôle de connectivité étendu pour le point de terminaison Amazon S3.
+ **`analyzeAwsEndpointReachabilityFromEC2:`**
Appelle le runbook d'automatisation,`AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2`. pour vérifier l'accessibilité de l'instance sélectionnée aux points de terminaison requis.
+ **`CheckWindowsUpdateServices:`**
Vérifie l'état du service Windows Update et le type de démarrage.
+ **`CheckWindowsUpdateSettings:`**
Vérifie les politiques Windows Update configurées sur l'instance Windows.
+ **`CheckWSUSSettings:`**
Vérifie si la mise à jour Windows est configurée avec WSUS ou Microsoft Update Catalog et vérifie la connectivité.
+ **`CheckWUGlobalSettings:`**
Vérifie les paramètres globaux de Windows Update configurés sur l'instance Windows.
+ **`GenerateLogs:`**
Télécharge les journaux Windows Update et les journaux CBS sur le bureau de l'instance et vérifie les erreurs dans les journaux d'événements Windows.
+ **`FinalReport:`**
Génère un rapport complet de toutes les étapes.
1. Une fois terminé, consultez la section Sorties pour obtenir les résultats détaillés de l'exécution :
![\[Final report results showing various system checks and statuses, all marked as PASSED.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-windows-update_outputs.png)
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootWindowsUpdate/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
Documentation relative au AWS service
+ Reportez-vous à l'article [TroubleShootWindows Update](https://repost.aws/knowledge-center/ec2-windows-update-troubleshoot) pour plus d'informations.
# `AWSSupport-UpgradeWindowsAWSDrivers`
**Description**
Le `AWSSupport-UpgradeWindowsAWSDrivers` runbook met à niveau ou répare le stockage et AWS les pilotes réseau sur l'instance EC2 spécifiée. Le runbook tente d'installer les dernières versions des AWS pilotes en ligne en appelant l'agent SSM. Si l'agent SSM n'est pas joignable, le runbook peut effectuer une installation hors ligne des AWS pilotes si cela est explicitement demandé.
Ce runbook est compatible avec les systèmes d'exploitation suivants :
+ Windows Server 2016
+ Windows Server 2019
+ Windows Server 2022
+ Windows Server 2025
**Note**
La mise à niveau en ligne et hors ligne créera une AMI avant toute tentative d'opération, qui persistera une fois l'automatisation terminée. Vous devez sécuriser l'accès à l'AMI ou le supprimer. La méthode en ligne redémarre l'instance dans le cadre du processus de mise à niveau, tandis que la méthode hors connexion nécessite l'arrêt, puis le redémarrage de l'instance EC2 fournie.
**Important**
Si vos instances se connectent à AWS Systems Manager l'aide de points de terminaison VPC, ce runbook échouera s'il n'est pas utilisé dans la région us-east-1. Ce runbook échouera également sur un contrôleur de domaine. Pour mettre à jour les pilotes AWS PV sur un contrôleur de domaine, voir [Mettre à niveau un contrôleur de domaine (mise à niveau AWS PV)](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Upgrading_PV_drivers.html#aws-pv-upgrade-dc).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-UpgradeWindowsAWSDrivers)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Windows
**Paramètres**
+ AllowOffline
Type : Chaîne
Valeurs valides : true \$1 false
Valeur par défaut : false
Description : (Facultatif) Définissez ce paramètre sur true si vous autorisez la mise à niveau des pilotes hors connexion si l'installation en ligne ne peut pas être effectuée. Remarque : le mode hors connexion nécessite l'arrêt, puis le redémarrage de l'instance EC2. Les données stockées sur les volumes de stockage d'instance seront perdues. L'adresse IP publique change si vous n'utilisez pas une adresse IP Elastic.
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ ForceUpgrade
Type : Chaîne
Valeurs valides : true \$1 false
Valeur par défaut : false
Description : (Facultatif et hors connexion uniquement) définissez ce paramètre sur true si vous autorisez la mise à niveau des pilotes hors connexion même si les derniers pilotes sont déjà installés sur votre instance.
+ InstanceId
Type : Chaîne
Description : (obligatoire) ID de votre instance EC2 pour Windows Server.
+ SubnetId
Type : Chaîne
Par défaut : SelectedInstanceSubnet
Description : (Facultatif) Hors ligne uniquement : ID de sous-réseau de l'instance EC2 Rescue utilisée pour effectuer la mise à niveau des pilotes hors ligne. Si aucun ID de sous-réseau n'est spécifié, Systems Manager Automation créera un nouveau VPC.
**Important**
Le sous-réseau doit se trouver dans la même zone de disponibilité que les points de terminaison SSM InstanceId, et il doit autoriser l'accès à ceux-ci.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
L'instance EC2 recevant la commande doit au minimum avoir un rôle IAM qui inclut des autorisations pour **ssm : StartAutomationExecution** et **ssm : SendCommand** pour exécuter l'automatisation et envoyer la commande à l'instance, plus **ssm : GetAutomationExecution** pour pouvoir lire le résultat de l'automatisation. Vous pouvez joindre la stratégie gérée par `AmazonSSMManagedInstanceCore` Amazon à votre rôle IAM pour fournir ces autorisations. Nous vous recommandons toutefois d'utiliser le rôle IAM Automation `AmazonSSMAutomationRole` à cette fin. Pour plus d'informations, consultez [Utiliser IAM pour configurer les rôles pour l'automatisation](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-permissions.html).
Si vous effectuez une mise à niveau hors connexion, veuillez consulter les autorisations requises par [`AWSSupport-StartEC2RescueWorkflow`](automation-awssupport-startec2rescueworkflow.md).
**Étapes de document**
1. `aws:assertAwsResourceProperty`- Vérifie que l'instance d'entrée est Windows.
1. `aws:assertAwsResourceProperty`- Vérifie que l'instance d'entrée est une instance gérée. Si tel est le cas, la mise à niveau en ligne démarre. Dans le cas contraire, la mise à niveau hors connexion est évaluée.
1. (Mise à niveau en ligne) Si l'instance d'entrée est une instance gérée :
1. `aws:createImage`- Crée une sauvegarde AMI.
1. `aws:createTags`- Marque la sauvegarde de l'AMI.
1. `aws:runCommand`- Installe le pilote réseau ENA.
1. `aws:runCommand`- Installe le NVMe pilote.
1. `aws:runCommand`- Installe le pilote AWS PV.
1. (Mise à niveau hors connexion) Si l'instance d'entrée n'est pas une instance gérée :
1. `aws:assertAwsResourceProperty`- Vérifie que le AllowOffline drapeau est réglé sur. `true` Dans ce cas, la mise à niveau hors ligne démarre, sinon l'automatisation prend fin.
1. `aws:changeInstanceState`- Arrêtez l'instance source.
1. `aws:changeInstanceState`- Arrêtez de force l'instance source.
1. `aws:createImage`- Créez une sauvegarde AMI de l'instance source.
1. `aws:createTags`- Marquez la sauvegarde AMI de l'instance source.
1. `aws:executeAwsApi`- Activez l'ENA pour l'instance
1. `aws:assertAwsResourceProperty`- Affirmez le ForceUpgrade drapeau.
1. Forcer la mise à niveau hors ligne) Si **ForceUpgrade = true**, exécutez `aws:executeAutomation` pour appeler le script de mise à niveau forcée `AWSSupport-StartEC2RescueWorkflow` avec les pilotes. Cette opération installe les pilotes quelle que soit la version actuelle qui est installée.
1. (Mise à niveau hors ligne) Si **ForceUpgrade = false**, exécutez `aws:executeAutomation` pour appeler `AWSSupport-StartEC2RescueWorkflow` avec le script de mise à niveau des pilotes.
**Sorties**
preUpgradeBackup.ImageId
preOfflineUpgradeBackup. ImageId
`installAwsEnaNetworkDriverOnInstance.Output`
`installAWSNVMeOnInstance.Output`
`installAWSPVDriverOnInstance.Output`
upgradeDriversOffline.Sortie
forceUpgradeDriversHors ligne. Sortie
# Amazon ECS
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon Elastic Container Service. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSSupport-CollectECSInstanceLogs`](automation-awssupport-collectecsinstancelogs.md)
+ [`AWS-InstallAmazonECSAgent`](automation-aws-install-ecs-agent.md)
+ [`AWS-ECSRunTask`](aws-run-ecs-task.md)
+ [`AWSSupport-TroubleshootECSContainerInstance`](automation-aws-troubleshoot-ecs-container-instance.md)
+ [`AWSSupport-TroubleshootECSTaskFailedToStart`](automation-aws-troubleshootecstaskfailedtostart.md)
+ [`AWS-UpdateAmazonECSAgent`](automation-aws-update-ecs-agent.md)
# `AWSSupport-CollectECSInstanceLogs`
**Description**
Le `AWSSupport-CollectECSInstanceLogs` runbook collecte les fichiers journaux relatifs au système d'exploitation et à Amazon Elastic Container Service (Amazon ECS) à partir d'une instance Amazon Elastic Compute Cloud (Amazon EC2) afin de vous aider à résoudre les problèmes courants liés à Amazon ECS. Pendant que l'automatisation collecte les fichiers journaux associés, des modifications sont apportées au système de fichiers. Ces modifications incluent la création de répertoires temporaires et d'un répertoire de journaux, la copie de fichiers journaux dans ces répertoires et la compression des fichiers journaux dans une archive.
Si vous spécifiez une valeur pour le `LogDestination` paramètre, l'interface de ligne de AWS commande (AWS CLI) pour les instances Linux ou les AWS outils pour Windows PowerShell pour les instances Windows doivent être installés sur l'instance cible. L'automatisation évalue l'état de la politique du bucket Amazon Simple Storage Service (Amazon S3) que vous spécifiez. Pour renforcer la sécurité des journaux collectés depuis votre instance Amazon EC2, si le statut de la politique `isPublic` est défini sur`true`, ou si la liste de contrôle d'accès (ACL) accorde des `READ|WRITE` autorisations au groupe prédéfini `All Users` Amazon S3, les journaux ne sont pas chargés. De plus, si le bucket fourni n'est pas disponible dans votre compte, les journaux ne sont pas chargés. Pour plus d'informations sur les groupes prédéfinis Amazon S3, consultez les [groupes prédéfinis Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html#specifying-grantee-predefined-groups) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-CollectECSInstanceLogs)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ ECSInstanceID
Type : Chaîne
Description : (Obligatoire) L'ID de l'instance à partir de laquelle vous souhaitez collecter des journaux. L'instance que vous spécifiez doit être gérée par Systems Manager.
+ LogDestination
Type : Chaîne
Description : (Facultatif) Le compartiment Amazon S3 dans lequel vous Compte AWS souhaitez télécharger les journaux archivés.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:ListCommandInvocations`
+ `ssm:ListCommands`
+ `ssm:SendCommand`
+ `ssm:DescribeInstanceInformation`
Nous recommandons que l'instance Amazon EC2 que vous spécifiez dans le `ECSInstanceId` paramètre possède un rôle IAM auquel est attachée la politique gérée par `AmazonSSMManagedInstanceCore` Amazon. Pour télécharger l'archive du journal dans le compartiment Amazon S3 que vous spécifiez dans le `LogDestination` paramètre, vous devez ajouter les autorisations suivantes :
+ `s3:PutObject`
+ `s3:ListBucket`
+ `s3:GetBucketPolicyStatus`
+ `s3:GetBucketAcl`
**Étapes de document**
+ `assertInstanceIsManaged`- Vérifie si l'instance que vous spécifiez dans le `ECSInstanceId` paramètre est gérée par Systems Manager.
+ `getInstancePlatform`- Obtient des informations sur la plate-forme du système d'exploitation (OS) de l'instance spécifiée dans le `ECSInstanceId` paramètre.
+ `verifyInstancePlatform`- Branche l'automatisation en fonction de la plate-forme du système d'exploitation.
+ `runLogCollectionScriptOnLinux`- Rassemble les fichiers journaux liés au système d'exploitation et à Amazon ECS sur les instances Linux et crée un fichier d'archive dans le `/var/log/collectECSlogs` répertoire.
+ `runLogCollectionScriptOnWindows`- Rassemble les fichiers journaux liés au système d'exploitation et à Amazon ECS sur les instances Windows et crée un fichier d'archive dans le `C:\ProgramData\collectECSlogs` répertoire.
+ `verifyIfS3BucketProvided`- Vérifie si une valeur a été spécifiée pour le `LogDestination` paramètre.
+ `runUploadScript`- Branche l'étape d'automatisation en fonction de la plate-forme du système d'exploitation.
+ `runUploadScriptOnLinux`- Télécharge l'archive du journal dans le compartiment Amazon S3 spécifié dans le `LogDestination` paramètre et supprime le fichier journal archivé du système d'exploitation.
+ `runUploadScriptOnWindows`- Télécharge l'archive du journal dans le compartiment Amazon S3 spécifié dans le `LogDestination` paramètre et supprime le fichier journal archivé du système d'exploitation.
# `AWS-InstallAmazonECSAgent`
**Description**
Le `AWS-InstallAmazonECSAgent` runbook installe l'agent Amazon Elastic Container Service (Amazon ECS) sur l'instance Amazon Elastic Compute Cloud (Amazon EC2) que vous spécifiez. Ce runbook ne prend en charge que les instances Amazon Linux et Amazon Linux 2.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-InstallAmazonECSAgent)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceIds
Type : StringList
Description : (Obligatoire) Les identifiants des instances Amazon EC2 sur lesquelles vous souhaitez installer l'agent Amazon ECS.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ssm:GetCommandInvocation`
+ `ec2:DescribeImages`
+ `ec2:DescribeInstanceAttribute`
+ `ec2:DescribeInstances`
**Étapes de document**
`aws:executeScript`- Installe l'agent Amazon ECS sur les instances Amazon EC2 que vous spécifiez dans `InstanceIds` le paramètre.
**Sorties**
InstallAmazonECSAgent. SuccessfulInstances - L'ID de l'instance où l'installation de l'agent Amazon ECS a réussi.
InstallAmazonECSAgent. FailedInstances - L'ID de l'instance sur laquelle l'installation de l'agent Amazon ECS a échoué.
InstallAmazonECSAgent. InProgressInstances - L'ID de l'instance sur laquelle l'installation de l'agent Amazon ECS est en cours.
# `AWS-ECSRunTask`
**Description**
Le `AWS-ECSRunTask` runbook exécute la tâche Amazon Elastic Container Service (Amazon ECS) que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-ECSRunTask)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ capacityProviderStrategy
Type : Chaîne
Description : (Facultatif) La stratégie du fournisseur de capacité à utiliser pour la tâche.
+ cluster
Type : Chaîne
Description : (Facultatif) Nom abrégé ou ARN du cluster sur lequel exécuter votre tâche. Si vous ne spécifiez aucun cluster, le cluster par défaut est utilisé.
+ count
Type : Chaîne
Description : (Facultatif) Nombre d'instanciations de la tâche spécifiée à placer sur votre cluster. Vous pouvez spécifier jusqu'à 10 tâches pour chaque demande.
+ activer les ECSManaged balises
Type : Boolean
Description : (Facultatif) Spécifie s'il faut utiliser les balises gérées par Amazon ECS pour la tâche. Pour plus d'informations, veuillez consulter la rubrique [Balisage de vos ressources Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) dans le *Guide du développeur Amazon Elastic Container Service*.
+ enableExecuteCommand
Type : Boolean
Description : (Facultatif) Détermine s'il faut activer la fonctionnalité d'exécution de commande pour les conteneurs de cette tâche. Si cela est vrai, cela active la fonctionnalité d'exécution de commande sur tous les conteneurs de la tâche.
+ groupe
Type : Chaîne
Description : (Facultatif) Nom du groupe de tâches à associer à la tâche. La valeur par défaut est le nom de famille de la définition de tâche. Par exemple, `family:my-family-name`.
+ Type de lancement
Type : Chaîne
Valeurs valides : EC2 \$1 FARGATE \$1 EXTERNAL
Description : (Facultatif) L'infrastructure sur laquelle exécuter votre tâche autonome.
+ networkConfiguration
Type : Chaîne
Description : (Facultatif) Configuration réseau de la tâche. Ce paramètre est obligatoire pour les définitions de tâches qui utilisent le mode `awsvpc` réseau pour recevoir leur propre interface réseau Elastic, et il n'est pas pris en charge pour les autres modes réseau.
+ remplacements
Type : Chaîne
Description : (Facultatif) Une liste de remplacements de conteneurs au format JSON qui spécifie le nom d'un conteneur dans la définition de tâche spécifiée et les remplacements qu'il doit recevoir. Vous pouvez remplacer la commande par défaut pour un conteneur spécifiée dans la définition de la tâche ou dans l'image Docker par une commande de remplacement. Vous pouvez également remplacer les variables d'environnement existantes spécifiées dans la définition de la tâche ou dans l'image Docker d'un conteneur. En outre, vous pouvez ajouter de nouvelles variables d'environnement avec une dérogation d'environnement.
+ placementConstraints
Type : Chaîne
Description : (Facultatif) Tableau d'objets de contrainte de placement à utiliser pour la tâche. Vous pouvez définir jusqu'à 10 contraintes pour chaque tâche, y compris les contraintes dans la définition de la tâche et celles spécifiées lors de l'exécution.
+ placementStrategy
Type : Chaîne
Description : (Facultatif) Les objets de stratégie de placement à utiliser pour la tâche. Vous pouvez définir un maximum de 5 règles de stratégie pour chaque tâche.
+ platformVersion
Type : Chaîne
Description : (Facultatif) Version de plate-forme utilisée par la tâche. Une version de plateforme n'est spécifiée que pour les tâches hébergées sur Fargate. Si vous ne spécifiez aucune version de plateforme, la version `LATEST` est utilisée.
+ propagateTags
Type : Chaîne
Description : (Facultatif) Détermine si les balises se propagent de la définition de la tâche à la tâche. Si aucune valeur n'est spécifiée, les balises ne sont pas propagées. Les balises ne peuvent être propagées à la tâche que lors de la création de tâche.
+ referenceId
Type : Chaîne
Description : (Facultatif) L'ID de référence à utiliser pour la tâche. L'ID de référence peut avoir une longueur maximale de 1024 caractères.
+ Commencé par
Type : Chaîne
Description : (Facultatif) Balise facultative spécifiée lors du démarrage d'une tâche. Cela vous permet d'identifier les tâches qui appartiennent à une tâche spécifique en filtrant les résultats d'une opération d'`ListTasks`API. Jusqu'à 36 lettres (majuscules et minuscules), chiffres, tirets (-) et traits de soulignement (\$1) sont autorisés.
+ tags
Type : Chaîne
Description : (Facultatif) Métadonnées que vous souhaitez appliquer à la tâche pour vous aider à classer et à organiser les tâches. Chaque balise est composée d'une clé et d'une valeur définies par l'utilisateur.
+ Définition de la tâche
Type : Chaîne
Description : (Facultatif) Le `family` et `revision` (`family`:`revision`) ou l'ARN complet de la définition de tâche à exécuter. Si aucune révision n'est spécifiée, la dernière `ACTIVE` révision est utilisée.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ecs:RunTask`
**Étapes de document**
`aws:executeScript`- Exécute la tâche Amazon ECS en fonction des valeurs que vous spécifiez pour les paramètres d'entrée du runbook.
# `AWSSupport-TroubleshootECSContainerInstance`
**Description**
Le `AWSSupport-TroubleshootECSContainerInstance` runbook vous aide à dépanner une instance Amazon Elastic Compute Cloud (Amazon EC2) qui ne parvient pas à s'enregistrer auprès d'un cluster Amazon ECS. Cette automatisation vérifie si les données utilisateur de l'instance contiennent les informations de cluster correctes, si le profil de l'instance contient les autorisations requises et vérifie les problèmes de configuration réseau.
**Important**
Pour exécuter correctement cette automatisation, l'état de votre instance Amazon EC2 doit être`running`, et l'état du cluster Amazon ECS doit être. `ACTIVE`
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootECSContainerInstance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ ClusterName
Type : Chaîne
Description : (Obligatoire) Nom du cluster Amazon ECS auprès duquel l'instance n'a pas pu être enregistrée.
+ InstanceId
Type : Chaîne
Description : (Obligatoire) L'ID de l'instance Amazon EC2 que vous souhaitez dépanner.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:DescribeIamInstanceProfileAssociations`
+ `ec2:DescribeInstanceAttribute`
+ `ec2:DescribeInstances`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcEndpoints`
+ `ec2:DescribeVpcs`
+ `iam:GetInstanceProfile`
+ `iam:GetRole`
+ `iam:SimulateCustomPolicy`
+ `iam:SimulatePrincipalPolicy`
**Étapes de document**
AWS:ExecuteScript : vérifie si l'instance Amazon EC2 répond aux conditions requises pour s'enregistrer auprès d'un cluster Amazon ECS.
# `AWSSupport-TroubleshootECSTaskFailedToStart`
**Description**
Le `AWSSupport-TroubleshootECSTaskFailedToStart` runbook vous aide à résoudre les problèmes liés à l'échec du démarrage d'une tâche Amazon Elastic Container Service (Amazon ECS) dans un cluster Amazon ECS. Vous devez exécuter ce runbook en même temps Région AWS que votre tâche qui n'a pas pu démarrer. Le runbook analyse les problèmes courants suivants qui peuvent empêcher le démarrage d'une tâche :
+ Connectivité réseau avec le registre de conteneurs configuré
+ Autorisations IAM manquantes requises par le rôle d'exécution de la tâche
+ Connectivité au point de terminaison de VPC
+ Configuration des règles de groupe de sécurité
+ AWS Secrets Manager références secrètes
+ Configuration de la journalisation
**Note**
Si l'analyse détermine que la connectivité réseau doit être testée, une fonction Lambda et le rôle IAM requis sont créés dans votre compte. Ces ressources sont utilisées pour simuler la connectivité réseau de votre tâche ayant échoué. L'automatisation supprime ces ressources lorsqu'elles ne sont plus nécessaires. Toutefois, si l'automatisation ne parvient pas à supprimer les ressources, vous devez le faire manuellement.
Lorsqu'un rôle Lambda IAM est fourni, l'automatisation l'utilise au lieu d'en créer un nouveau. Le rôle Lambda IAM fourni doit inclure la politique AWS gérée `AWSLambdaVPCAccessExecutionRole` et disposer d'une politique de confiance qui permet au principal du service Lambda de l'assumer. `lambda.amazonaws.com`
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootECSTaskFailedToStart)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ LambdaRoleArn
Type : Chaîne
Description : (Facultatif) L'ARN du rôle IAM qui permet à la AWS Lambda fonction d'accéder aux AWS services et ressources requis. Si aucun rôle n'est spécifié, cette automatisation de Systems Manager créera un rôle IAM pour Lambda dans votre compte avec le `NetworkToolSSMRunbookExecution` nom qui inclut la politique gérée :. `AWSLambdaVPCAccessExecutionRole`
+ ClusterName
Type : Chaîne
Description : (Obligatoire) Nom du cluster Amazon ECS dans lequel la tâche n'a pas pu démarrer.
+ CloudwatchRetentionPeriod
Type : Integer
Description : (Facultatif) Période de conservation, en jours, des journaux des fonctions Lambda à stocker dans Amazon CloudWatch Logs. Cela n'est nécessaire que si l'analyse détermine que la connectivité réseau doit être testée.
Valeurs valides : 1 \$1 3 \$1 5 \$1 7 \$1 14 \$1 30 \$1 60 \$1 90
Valeur par défaut : 30
+ TaskId
Type : Chaîne
Description : (Obligatoire) L'ID de la tâche ayant échoué. Utilisez la dernière tâche ayant échoué.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `cloudtrail:LookupEvents`
+ `ec2:DeleteNetworkInterface`
+ `ec2:DescribeDhcpOptions`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceAttribute`
+ `ec2:DescribeIamInstanceProfileAssociations`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcEndpoints`
+ `ec2:DescribeVpcs`
+ `ec2:DescribeVpcAttribute`
+ `elasticfilesystem:DescribeFileSystems`
+ `elasticfilesystem:DescribeMountTargets`
+ `elasticfilesystem:DescribeMountTargetSecurityGroups`
+ `elasticfilesystem:DescribeFileSystemPolicy`
+ `ecr:DescribeImages`
+ `ecr:GetRepositoryPolicy`
+ `ecs:DescribeContainerInstances`
+ `ecs:DescribeServices`
+ `ecs:DescribeTaskDefinition`
+ `ecs:DescribeTasks`
+ `iam:AttachRolePolicy`
+ `iam:CreateRole`
+ `iam:DeleteRole`
+ `iam:DetachRolePolicy`
+ `iam:GetInstanceProfile`
+ `iam:GetRole`
+ `iam:ListRoles`
+ `iam:ListUsers`
+ `iam:PassRole`
+ `iam:SimulateCustomPolicy`
+ `iam:SimulatePrincipalPolicy`
+ `kms:DescribeKey`
+ `lambda:CreateFunction`
+ `lambda:DeleteFunction`
+ `lambda:GetFunctionConfiguration`
+ `lambda:InvokeFunction`
+ `lambda:TagResource`
+ `logs:DescribeLogGroups`
+ `logs:PutRetentionPolicy`
+ `secretsmanager:DescribeSecret`
+ `ssm:DescribeParameters`
+ `sts:GetCallerIdentity`
Lorsqu'elle `LambdaRoleArn` est fournie, l'automatisation n'a pas besoin de créer le rôle et les autorisations suivantes peuvent être exclues :
+ `iam:CreateRole`
+ `iam:DeleteRole`
+ `iam:AttachRolePolicy`
+ `iam:DetachRolePolicy`
**Étapes de document**
+ `aws:executeScript`- Vérifie que l'utilisateur ou le rôle qui a lancé l'automatisation dispose des autorisations IAM requises. Si vous ne disposez pas des autorisations suffisantes pour utiliser ce runbook, les autorisations requises manquantes sont incluses dans le résultat de l'automatisation.
+ `aws:branch`- Branches selon que vous êtes autorisé ou non à effectuer toutes les actions requises pour le runbook.
+ `aws:executeScript`- Crée une fonction Lambda dans votre VPC si l'analyse détermine que la connectivité réseau doit être testée.
+ `aws:branch`- Branches basées sur les résultats de l'étape précédente.
+ `aws:executeScript`- Analyse les causes possibles de l'échec du démarrage de votre tâche.
+ `aws:executeScript`- Supprime les ressources créées par cette automatisation.
+ `aws:executeScript`- Formate la sortie de l'automatisation pour renvoyer les résultats de l'analyse à la console. Vous pouvez revoir l'analyse après cette étape avant que l'automatisation ne soit terminée.
+ `aws:branch`- Branches selon que la fonction Lambda et les ressources associées ont été créées et doivent être supprimées.
+ `aws:sleep`- Sort pendant 30 minutes afin que l'interface Elastic network de la fonction Lambda puisse être supprimée.
+ `aws:executeScript`- Supprime l'interface réseau de la fonction Lambda.
+ `aws:executeScript`- Formate la sortie de l'étape de suppression de l'interface réseau de la fonction Lambda.
# `AWS-UpdateAmazonECSAgent`
**Description**
Le `AWS-UpdateAmazonECSAgent` runbook met à jour l'agent Amazon Elastic Container Service (Amazon ECS) sur l'instance Amazon Elastic Compute Cloud (Amazon EC2) que vous spécifiez. Ce runbook ne prend en charge que les instances Amazon Linux et Amazon Linux 2.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-UpdateAmazonECSAgent)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ ARN du cluster
Type : StringList
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du cluster Amazon ECS auprès duquel vos instances de conteneur sont enregistrées.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ssm:GetCommandInvocation`
+ `ec2:DescribeImages`
+ `ec2:DescribeInstanceAttribute`
+ `ec2:DescribeImage`
+ `ec2:DescribeInstance`
+ `ec2:DescribeInstanceAttribute`
+ `ecs:DescribeContainerInstances`
+ `ecs:DescribeClusters`
+ `ecs:ListContainerInstances`
+ `ecs:UpdateContainerAgent`
**Étapes de document**
`aws:executeScript`- Met à jour l'agent Amazon ECS sur le cluster Amazon ECS que vous spécifiez dans les `ClusterARN` paramètres.
**Sorties**
UpdateAmazonECSAgent. UpdatedContainers - L'ID de l'instance où la mise à jour de l'agent Amazon ECS a réussi.
UpdateAmazonECSAgent. FailedContainers - L'ID de l'instance où la mise à jour de l'agent Amazon ECS a échoué.
UpdateAmazonECSAgent. InProgressContainers - L'ID de l'instance où la mise à jour de l'agent Amazon ECS est en cours.
# Amazon EFS
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon Elastic File System. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSSupport-CheckAndMountEFS`](automation-awssupport-check-and-mount-efs.md)
# `AWSSupport-CheckAndMountEFS`
**Description**
Le `AWSSupport-CheckAndMountEFS` runbook vérifie les conditions requises pour monter votre système de fichiers Amazon Elastic File System (Amazon EFS) et monte le système de fichiers sur l'instance Amazon Elastic Compute Cloud (Amazon EC2) que vous spécifiez. Ce runbook prend en charge le montage de votre système de fichiers Amazon EFS à l'aide du nom DNS ou de l'adresse IP de la cible de montage.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-CheckAndMountEFS)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Action
Type : Chaîne
Valeurs valides : Vérifiez \$1 CheckAndMount
Description : (Obligatoire) Détermine si le runbook vérifie les prérequis ou vérifie les prérequis et monte le système de fichiers.
+ EfsId
Type : Chaîne
Description : (Obligatoire) L'ID du système de fichiers que vous souhaitez monter.
+ InstanceId
Type : Chaîne
Description : (Obligatoire) L'ID de l'instance Amazon EC2 sur laquelle vous souhaitez monter le système de fichiers.
+ MountOptions
Type : Chaîne
Description : (Facultatif) Les options prises en charge par l'assistant de montage Amazon EFS que vous souhaitez utiliser lors du montage du système de fichiers. Si vous spécifiez `tls` cette option, vérifiez que Stunnel a été mis à niveau sur l'instance cible.
+ MountPoint
Type : Chaîne
Description : (Facultatif) Le répertoire dans lequel vous souhaitez monter le système de fichiers. Si vous spécifiez la `Check` valeur du `Action` paramètre, celui-ci ne doit pas être spécifié.
+ MountTargetIP
Type : Chaîne
Description : (Facultatif) Adresse IP de la cible de montage. Le montage par adresse IP fonctionne dans les environnements où le DNS est désactivé, tels que les clouds privés virtuels (VPCs) avec les noms d'hôte DNS désactivés. Vous pouvez également utiliser cette option si votre environnement utilise un fournisseur DNS autre qu'Amazon Route 53 (Route 53).
+ Région
Type : Chaîne
Description : (Obligatoire) L' Région AWS emplacement de l'instance Amazon EC2 et du système de fichiers.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:DescribeAutomationExecutions`
+ `ssm:DescribeAutomationStepExecutions`
+ `ssm:DescribeAutomationStepExecutions`
+ `ssm:DescribeInstanceInformation`
+ `ssm:DescribeInstanceProperties`
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ssm:GetDocument`
+ `ssm:ListCommands`
+ `ssm:ListCommandInvocations`
+ `ssm:ListDocuments`
+ `ssm:StartAutomationExecution`
+ `iam:ListRoles`
+ `ec2:DescribeInstances`
+ `ec2:DescribeSecurityGroups`
+ `elasticfilesystem:DescribeFileSystemPolicy`
+ `elasticfilesystem:DescribeMountTargets`
+ `elasticfilesystem:DescribeMountTargetSecurityGroups`
+ `resource-groups:*`
**Étapes de document**
+ `aws:executeScript`- Recueille des informations sur l'instance Amazon EC2 que vous spécifiez dans `InstanceId` le paramètre.
+ `aws:executeScript`- Rassemble des informations sur le système de fichiers que vous spécifiez dans le `EfsId` paramètre.
+ `aws:executeScript`- Vérifie que le groupe de sécurité associé au système de fichiers autorise le trafic sur le port 2049 depuis l'instance Amazon EC2 que vous spécifiez dans le paramètre. `InstanceId`
+ `aws:assertAwsResourceProperty`- Vérifie que l'instance Amazon EC2 que vous spécifiez dans `InstanceId` le paramètre est gérée par Systems Manager et que son statut est bien le cas. `Online`
+ `aws:branch`- Branches basées sur la valeur que vous spécifiez pour le `Action` paramètre.
+ `aws:runCommand`- Vérifie les conditions requises pour le montage du système de fichiers que vous spécifiez dans le `EfsId` paramètre.
+ `aws:runCommand`- Vérifie les conditions requises pour le montage du système de fichiers que vous spécifiez dans le `EfsId` paramètre, et monte le système de fichiers sur l'instance Amazon EC2 que vous spécifiez dans le paramètre. `InstanceId`
# Amazon EKS
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon Elastic Kubernetes Service. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-CreateEKSClusterWithFargateProfile`](aws-createeksclusterwithfargateprofile.md)
+ [`AWS-CreateEKSClusterWithNodegroup`](aws-createeksclusterwithnodegroup.md)
+ [`AWS-DeleteEKSCluster`](automation-aws-deleteekscluster.md)
+ [`AWS-MigrateToNewEKSSelfManagedNodeGroup`](aws-migratetoneweksselfmanagedlinuxnodegroup.md)
+ [`AWSPremiumSupport-TroubleshootEKSCluster`](automation-awspremiumsupport-troubleshootekscluster.md)
+ [`AWSSupport-TroubleshootEKSWorkerNode`](automation-awssupport-troubleshooteksworkernode.md)
+ [`AWS-UpdateEKSCluster`](automation-updateekscluster.md)
+ [`AWS-UpdateEKSManagedNodeGroup`](aws-updateeksmanagednodegroup.md)
+ [`AWS-UpdateEKSSelfManagedLinuxNodeGroups`](aws-updateeksselfmanagedlinuxnodegroup.md)
+ [`AWSSupport-CollectEKSLinuxNodeStatistics`](automation-awssupport-collectekslinuxnodestatistics.md)
+ [`AWSSupport-CollectEKSInstanceLogs`](automation-awssupport-collecteksinstancelogs.md)
+ [`AWSSupport-SetupK8sApiProxyForEKS`](automation-awssupport-setupk8sapiproxyforeks.md)
+ [`AWSSupport-TroubleshootEbsCsiDriversForEks`](automation-awssupport-troubleshoot-ebs-csi-drivers-for-eks.md)
+ [`AWSSupport-TroubleshootEKSALBControllerIssues`](automation-awssupport-troubleshoot-eks-alb-controller-issues.md)
# `AWS-CreateEKSClusterWithFargateProfile`
**Description**
Le `AWS-CreateEKSClusterWithFargateProfile` runbook crée un cluster Amazon Elastic Kubernetes Service (Amazon EKS) à l'aide d'un. AWS Fargate
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CreateEKSClusterWithFargateProfile)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ ClusterName
Type : Chaîne
Description : (Obligatoire) Nom unique pour le cluster.
+ ClusterRoleArn
Type : Chaîne
Description : (Obligatoire) L'ARN du rôle IAM qui autorise le plan de contrôle Kubernetes à effectuer des appels aux opérations d' AWS API en votre nom.
+ FargateProfileName
Type : Chaîne
Description : (Obligatoire) Nom du profil Fargate.
+ FargateProfileRoleArn
Type : Chaîne
Description : (Obligatoire) L'ARN du rôle IAM d'exécution du Pod Amazon EKS.
+ FargateProfileSelectors
Type : Chaîne
Description : (Obligatoire) Les sélecteurs permettant de faire correspondre les pods au profil Fargate.
+ SubnetIds
Type : StringList
Description : (Obligatoire) Les IDs sous-réseaux que vous souhaitez utiliser pour votre cluster Amazon EKS. Amazon EKS crée des interfaces réseau élastiques dans ces sous-réseaux pour la communication entre vos nœuds et le plan de contrôle Kubernetes. Vous devez spécifier au moins deux sous-réseaux IDs.
+ EKSEndpointPrivateAccess
Type : Boolean
Valeur par défaut : True
Description : (Facultatif) Définissez cette valeur sur pour autoriser l'accès privé `True` au point de terminaison du serveur d'API Kubernetes de votre cluster. Si vous activez l'accès privé, les demandes d'API Kubernetes en provenance du VPC de votre cluster utilisent un point de terminaison d'un VPC privé. Si vous désactivez l'accès privé et que le cluster contient des nœuds ou AWS Fargate des pods, assurez-vous qu'ils `publicAccessCidrs` incluent les blocs CIDR nécessaires à la communication avec les nœuds ou les pods Fargate.
+ EKSEndpointPublicAccess
Type : Boolean
Par défaut : false
Description : (Facultatif) Définissez cette valeur sur pour désactiver l'accès public `False` au point de terminaison du serveur d'API Kubernetes de votre cluster. Si vous désactivez l'accès public, le serveur d'API Kubernetes de votre cluster ne peut recevoir des demandes que depuis le VPC où il a été lancé.
+ PublicAccessCIDRs
Type : StringList
Description : (Facultatif) Les blocs CIDR autorisés à accéder au point de terminaison public du serveur d'API Kubernetes de votre cluster. La communication vers le point de terminaison à partir d'adresses situées en dehors des blocs d'adresse CIDR que vous spécifiez est refusée. Si vous avez désactivé l'accès privé aux terminaux et que le cluster contient des nœuds ou des pods Fargate, assurez-vous de spécifier les blocs d'adresse CIDR nécessaires.
+ SecurityGroupIds
Type : StringList
Description : (Facultatif) Spécifiez un ou plusieurs groupes de sécurité à associer aux interfaces réseau élastiques créées dans votre compte par Amazon EKS.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:GetAutomationExecution`
+ `ssm:StartAutomationExecution`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcs`
+ `eks:CreateCluster`
+ `eks:CreateFargateProfile`
+ `eks:DescribeCluster`
+ `eks:DescribeFargateProfile`
+ `iam:CreateServiceLinkedRole`
+ `iam:GetRole`
+ `iam:ListAttachedRolePolicies`
+ `iam:PassRole`
**Étapes de document**
+ Create EKSCluster (aws :executeAwsApi) - Crée un cluster Amazon EKS.
+ Verify EKSCluster IsActive (aws : waitForAwsResourceProperty) - Vérifie que l'état du cluster est`ACTIVE`.
+ CreateFargateProfile (aws :executeAwsApi) - Crée un Fargate pour le cluster.
+ VerifyFargateProfileIsActive (aws : waitForAwsResourceProperty) - Vérifie que l'état du profil Fargate est. `ACTIVE`
**Sorties**
`CreateEKSCluster.CreateClusterResponse`
Description : réponse reçue à la suite de l'appel d'`CreateCluster`API.
`CreateFargateProfile.CreateFargateProfileResponse`
Description : réponse reçue à la suite de l'appel d'`CreateFargateProfile`API.
# `AWS-CreateEKSClusterWithNodegroup`
**Description**
Le `AWS-CreateEKSClusterWithNodegroup` runbook crée un cluster Amazon Elastic Kubernetes Service (Amazon EKS) en utilisant un groupe de nœuds pour la capacité.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CreateEKSClusterWithNodegroup)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ ClusterName
Type : Chaîne
Description : (Obligatoire) Nom unique pour le cluster.
+ ClusterRoleArn
Type : Chaîne
Description : (Obligatoire) L'ARN du rôle IAM qui autorise le plan de contrôle Kubernetes à effectuer des appels aux opérations d' AWS API en votre nom.
+ NodegroupName
Type : Chaîne
Description : (Obligatoire) Nom unique pour le groupe de nœuds.
+ NodegroupRoleArn
Type : Chaîne
Description : (Obligatoire) L'ARN du rôle IAM à associer à votre groupe de nœuds. Le démon kubelet du nœud de travail Amazon EKS effectue des appels en votre AWS APIs nom. Les nœuds reçoivent l'autorisation pour ces appels d'API via un profil d'instance IAM et les politiques associées. Avant de pouvoir lancer les nœuds et les enregistrer dans un cluster, vous devez créer un rôle IAM qui sera utilisé par ces nœuds lors de leur lancement.
+ SubnetIds
Type : StringList
Description : (Obligatoire) Les IDs sous-réseaux que vous souhaitez utiliser pour votre cluster Amazon EKS. Amazon EKS crée des interfaces réseau élastiques dans ces sous-réseaux pour la communication entre vos nœuds et le plan de contrôle Kubernetes. Vous devez spécifier au moins deux sous-réseaux IDs.
+ EKSEndpointPrivateAccess
Type : Boolean
Valeur par défaut : True
Description : (Facultatif) Définissez cette valeur sur pour autoriser l'accès privé `True` au point de terminaison du serveur d'API Kubernetes de votre cluster. Si vous activez l'accès privé, les demandes d'API Kubernetes en provenance du VPC de votre cluster utilisent un point de terminaison d'un VPC privé. Si vous désactivez l'accès privé et que le cluster contient des nœuds ou AWS Fargate des pods, assurez-vous qu'ils `publicAccessCidrs` incluent les blocs CIDR nécessaires à la communication avec les nœuds ou les pods Fargate.
+ EKSEndpointPublicAccess
Type : Boolean
Par défaut : false
Description : (Facultatif) Définissez cette valeur sur pour désactiver l'accès public `False` au point de terminaison du serveur d'API Kubernetes de votre cluster. Si vous désactivez l'accès public, le serveur d'API Kubernetes de votre cluster ne peut recevoir des demandes que depuis le VPC où il a été lancé.
+ PublicAccessCIDRs
Type : StringList
Description : (Facultatif) Les blocs CIDR autorisés à accéder au point de terminaison public du serveur d'API Kubernetes de votre cluster. La communication vers le point de terminaison à partir d'adresses situées en dehors des blocs d'adresse CIDR que vous spécifiez est refusée. Si vous avez désactivé l'accès privé aux terminaux et que le cluster contient des nœuds ou des pods Fargate, assurez-vous de spécifier les blocs d'adresse CIDR nécessaires.
+ SecurityGroupIds
Type : StringList
Description : (Facultatif) Spécifiez un ou plusieurs groupes de sécurité à associer aux interfaces réseau élastiques créées dans votre compte par Amazon EKS.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DescribeSubnets`
+ `eks:CreateCluster`
+ `eks:CreateNodegroup`
+ `eks:DescribeCluster`
+ `eks:DescribeNodegroup`
+ `iam:CreateServiceLinkedRole`
+ `iam:GetRole`
+ `iam:ListAttachedRolePolicies`
+ `iam:PassRole`
**Étapes de document**
+ Create EKSCluster (aws :executeAwsApi) - Crée un cluster Amazon EKS.
+ Verify EKSCluster IsActive (aws : waitForAwsResourceProperty) - Vérifie que l'état du cluster est`ACTIVE`.
+ CreateNodegroup (aws :executeAwsApi) - Crée un groupe de nœuds pour le cluster.
+ VerifyNodegroupIsActive (aws : waitForAwsResourceProperty) - Vérifie que l'état du groupe de nœuds est`ACTIVE`.
**Sorties**
+ `CreateEKSCluster.CreateClusterResponse`: réponse reçue à la suite de l'appel d'`CreateCluster`API.
+ `CreateNodegroup.CreateNodegroupResponse`: réponse reçue à la suite de l'appel d'`CreateNodegroup`API.
# `AWS-DeleteEKSCluster`
**Description**
Ce runbook supprime les ressources associées à un cluster Amazon EKS, notamment les groupes de nœuds et les profils Fargate. Vous pouvez éventuellement choisir de supprimer tous les nœuds autogérés, les CloudFormation piles utilisées pour créer les nœuds et la CloudFormation pile VPC de votre cluster. Pour plus d'informations sur la suppression d'un cluster, consultez [Supprimer un cluster](https://docs.aws.amazon.com/eks/latest/userguide/delete-cluster.html) dans le *guide de l'utilisateur Amazon EKS*.
**Note**
Si votre cluster comporte des services actifs associés à un équilibreur de charge, vous devez supprimer ces services avant de supprimer le cluster. Dans le cas contraire, le système ne pourra pas supprimer les équilibreurs de charge. Suivez la procédure ci-dessous pour rechercher et supprimer des services avant d'exécuter le `AWS-DeleteEKSCluster` runbook.
**Pour localiser et supprimer des services dans votre cluster**
1. Installez l'utilitaire de ligne de commande Kubernetes,. `kubectl` Pour plus d'informations, consultez la section [Installation de kubectl](https://docs.aws.amazon.com/eks/latest/userguide/install-kubectl.html) dans le guide de *l'utilisateur Amazon EKS*.
1. Exécutez la commande suivante pour répertorier tous les services exécutés dans votre cluster.
```
kubectl get svc --all-namespaces
```
1. Exécutez la commande suivante pour supprimer tous les services associés à une valeur EXTERNAL-IP. Ces services sont dirigés par un équilibreur de charge, et vous devez les supprimer dans Kubernetes pour permettre à l'équilibreur de charge et aux ressources associées d'être correctement libérés.
```
kubectl delete svc
service-name
```
Vous pouvez maintenant exécuter le `AWS-DeleteEKSCluster` runbook.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-DeleteEKSCluster)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ EKSClusterNom
Type : Chaîne
Description : (Obligatoire) Nom du cluster Amazon EKS à supprimer.
+ VPCCloudFormationStack
Type : Chaîne
Description : nom de CloudFormation pile (facultatif) pour le VPC du cluster EKS en cours de suppression. Cela supprime la CloudFormation pile pour VPC et toutes les ressources créées par la pile.
+ VPCCloudFormationStackRole
Type : Chaîne
Description : (Facultatif) L'ARN d'un rôle IAM CloudFormation censé supprimer la pile CloudFormation VPC. CloudFormation utilise les informations d'identification du rôle pour passer des appels en votre nom.
+ SelfManagedNodeStacks
Type : Chaîne
Description : (Facultatif) Liste de noms de CloudFormation pile séparés par des virgules pour les nœuds autogérés. Cela supprimera les CloudFormation piles pour les nœuds autogérés.
+ SelfManagedNodeStacksRole
Type : Chaîne
Description : (Facultatif) L'ARN d'un rôle IAM censé CloudFormation supprimer les piles de nœuds autogérées. CloudFormation utilise les informations d'identification du rôle pour passer des appels en votre nom.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `sts:AssumeRole`
+ `eks:ListNodegroups`
+ `eks:DeleteNodegroup`
+ `eks:ListFargateProfiles`
+ `eks:DeleteFargateProfile`
+ `eks:DeleteCluster`
+ `cfn:DescribeStacks`
+ `cfn:DeleteStack`
**Étapes de document**
+ `aws:executeScript`- DeleteNodeGroups : Recherchez et supprimez tous les groupes de nœuds du cluster EKS.
+ `aws:executeScript`- DeleteFargateProfiles : Recherchez et supprimez tous les profils Fargate dans le cluster EKS.
+ `aws:executeScript`- DeleteSelfManagedNodes : Supprimez tous les nœuds autogérés et les CloudFormation piles utilisées pour créer les nœuds.
+ `aws:executeScript`- Supprimer EKSCluster : supprimez le cluster EKS.
+ `aws:executeScript`- Supprimer VPCCloud FormationStack : supprimez la pile VPC. CloudFormation
# `AWS-MigrateToNewEKSSelfManagedNodeGroup`
**Description**
Le `AWS-MigrateToNewEKSSelfManagedNodeGroup` runbook vous aide à créer un nouveau groupe de nœuds Linux Amazon Elastic Kubernetes Service (Amazon EKS) vers lequel migrer votre application existante. Pour plus d'informations, consultez la section [Migration vers un nouveau groupe de nœuds](https://docs.aws.amazon.com/eks/latest/userguide/migrate-stack.html) dans le **guide de l'utilisateur Amazon EKS**.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-MigrateToNewEKSSelfManagedLinuxNodeGroup)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ OldStackName
Type : Chaîne
Description : (Obligatoire) Le nom ou l'ID de pile de votre CloudFormation pile existante.
+ NewStackName
Type : Chaîne
Description : (Facultatif) Nom de la nouvelle CloudFormation pile créée pour votre nouveau groupe de nœuds. Si vous ne spécifiez aucune valeur pour ce paramètre, le nom de la pile est créé au format :`NewNodeGroup-ClusterName-AutomationExecutionID`.
+ ClusterControlPlaneSecurityGroup
Type : Chaîne
Description : (Facultatif) L'ID du groupe de sécurité que vous souhaitez que les nœuds utilisent pour communiquer avec le plan de contrôle Amazon EKS. Si vous ne spécifiez aucune valeur pour ce paramètre, le groupe de sécurité spécifié dans votre CloudFormation pile existante est utilisé.
+ NodeInstanceType
Type : Chaîne
Description : (Facultatif) Type d'instance que vous souhaitez utiliser pour le nouveau groupe de nœuds. Si vous ne spécifiez aucune valeur pour ce paramètre, le type d'instance spécifié dans votre CloudFormation pile existante est utilisé.
+ NodeGroupName
Type : Chaîne
Description : (Facultatif) Le nom de votre nouveau groupe de nœuds. Si vous ne spécifiez aucune valeur pour ce paramètre, le nom du groupe de nœuds spécifié dans votre CloudFormation pile existante est utilisé.
+ NodeAutoScalingGroupDesiredCapacity
Type : Chaîne
Description : (Facultatif) Le nombre de nœuds souhaité à atteindre lors de la création de votre nouvelle pile. Ce nombre doit être supérieur ou égal à la `NodeAutoScalingGroupMinSize` valeur et inférieur ou égal à`NodeAutoScalingGroupMaxSize`. Si vous ne spécifiez aucune valeur pour ce paramètre, la capacité souhaitée du groupe de nœuds spécifiée dans votre CloudFormation pile existante est utilisée.
+ NodeAutoScalingGroupMaxSize
Type : Chaîne
Description : (Facultatif) Le nombre maximum de nœuds que votre groupe de nœuds peut atteindre. Si vous ne spécifiez aucune valeur pour ce paramètre, la taille maximale du groupe de nœuds spécifiée dans votre CloudFormation pile existante est utilisée.
+ NodeAutoScalingGroupMinSize
Type : Chaîne
Description : (Facultatif) Le nombre minimum de nœuds que votre groupe de nœuds peut atteindre. Si vous ne spécifiez aucune valeur pour ce paramètre, la taille minimale du groupe de nœuds spécifiée dans votre CloudFormation pile existante est utilisée.
+ NodeImageId
Type : Chaîne
Description : (Facultatif) L'ID du Amazon Machine Image (AMI) que vous souhaitez que le groupe de nœuds utilise.
+ NodeImageIdSSMParam
Type : Chaîne
Description : (Facultatif) Le paramètre public de Systems Manager AMI que vous souhaitez que le groupe de nœuds utilise.
+ NodeVolumeSize
Type : Chaîne
Description : (Facultatif) Taille du volume racine de vos nœuds en GiB. Si vous ne spécifiez aucune valeur pour ce paramètre, la taille du volume du nœud spécifiée dans votre CloudFormation pile existante est utilisée.
+ NodeVolumeType
Type : Chaîne
Description : (Facultatif) Type de volume Amazon EBS que vous souhaitez utiliser pour le volume racine de vos nœuds. Si vous ne spécifiez aucune valeur pour ce paramètre, le type de volume spécifié dans votre CloudFormation pile existante est utilisé.
+ KeyName
Type : Chaîne
Description : (Facultatif) La paire de clés que vous souhaitez attribuer à vos nœuds. Si vous ne spécifiez aucune valeur pour ce paramètre, la paire de clés spécifiée dans votre CloudFormation pile existante est utilisée.
+ Subnets
Type : StringList
Description : (Facultatif) Liste séparée par des virgules des sous-réseaux IDs que vous souhaitez utiliser pour votre nouveau groupe de nœuds. Si vous ne spécifiez aucune valeur pour ce paramètre, les sous-réseaux spécifiés dans votre CloudFormation pile existante sont utilisés.
+ Désactiver IMDSv1
Type : Boolean
Description : (Facultatif) Spécifiez `true` si vous souhaitez désactiver le service de métadonnées d'instance version 1 (IMDSv1). Par défaut, les nœuds prennent en charge IMDSv1 et IMDSv2.
+ BootstrapArguments
Type : Chaîne
Description : (Facultatif) Arguments supplémentaires que vous souhaitez transmettre au script bootstrap du nœud.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ssm:GetParameters`
+ `autoscaling:CreateAutoScalingGroup`
+ `autoscaling:CreateOrUpdateTags`
+ `autoscaling:DeleteTags`
+ `autoscaling:DescribeAutoScalingGroups`
+ `autoscaling:DescribeScalingActivities`
+ `autoscaling:DescribeScheduledActions`
+ `autoscaling:SetDesiredCapacity`
+ `autoscaling:TerminateInstanceInAutoScalingGroup`
+ `autoscaling:UpdateAutoScalingGroup`
+ `cloudformation:CreateStack`
+ `cloudformation:DescribeStackResource`
+ `cloudformation:DescribeStacks`
+ `cloudformation:UpdateStack`
+ `ec2:AuthorizeSecurityGroupEgress`
+ `ec2:AuthorizeSecurityGroupIngress`
+ `ec2:CreateLaunchTemplateVersion`
+ `ec2:CreateLaunchTemplate`
+ `ec2:CreateSecurityGroup`
+ `ec2:CreateTags`
+ `ec2:DeleteLaunchTemplate`
+ `ec2:DeleteSecurityGroup`
+ `ec2:DescribeAvailabilityZones`
+ `ec2:DescribeImages`
+ `ec2:DescribeInstanceAttribute`
+ `ec2:DescribeInstanceStatus`
+ `ec2:DescribeInstances`
+ `ec2:DescribeKeyPairs`
+ `ec2:DescribeLaunchTemplateVersions`
+ `ec2:DescribeLaunchTemplates`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcs`
+ `ec2:RevokeSecurityGroupEgress`
+ `ec2:RevokeSecurityGroupIngress`
+ `ec2:RunInstances`
+ `ec2:TerminateInstances`
+ `iam:AddRoleToInstanceProfile`
+ `iam:AttachRolePolicy`
+ `iam:CreateInstanceProfile`
+ `iam:CreateRole`
+ `iam:GetInstanceProfile`
+ `iam:GetRole`
+ `iam:PassRole`
**Étapes de document**
+ DetermineParameterValuesForNewNodeGroup (AWS:ExecuteScript) - Rassemble les valeurs des paramètres à utiliser pour le nouveau groupe de nœuds.
+ CreateStack (AWS:CreateStack) - Crée la CloudFormation pile pour le nouveau groupe de nœuds.
+ GetNewStackNodeInstanceRole (aws :executeAwsApi) - Obtient le rôle d'instance du nœud.
+ GetNewStackSecurityGroup (aws :executeAwsApi) - L'étape obtient le groupe de sécurité du nœud.
+ AddIngressRulesToNewNodeSecurityGroup (aws :executeAwsApi) - Ajoute des règles d'entrée au groupe de sécurité nouvellement créé afin qu'il puisse accepter le trafic provenant de celui attribué à votre groupe de nœuds précédent.
+ AddIngressRulesToOldNodeSecurityGroup (aws :executeAwsApi) - Ajoute des règles d'entrée au groupe de sécurité précédent afin qu'il puisse accepter le trafic provenant de celui attribué au groupe de nœuds que vous venez de créer.
+ VerifyStackComplete (aws : assertAwsResource Property) - Vérifie que le nouveau statut de la pile est`CREATE_COMPLETE`.
**Sorties**
DetermineParameterValuesForNewNodeGroup. NewStackParameters - Les paramètres utilisés pour créer la nouvelle pile.
GetNewStackNodeInstanceRole. NewNodeInstanceRole - Le rôle d'instance de nœud pour le nouveau groupe de nœuds.
GetNewStackSecurityGroup. NewNodeSecurityGroup - L'ID du groupe de sécurité pour le nouveau groupe de nœuds.
DetermineParameterValuesForNewNodeGroup. NewStackName - Le nom de la CloudFormation pile pour le nouveau groupe de nœuds.
CreateStack. StackId - L'ID de CloudFormation pile du nouveau groupe de nœuds.
# `AWSPremiumSupport-TroubleshootEKSCluster`
**Description**
Le `AWSPremiumSupport-TroubleshootEKSCluster` runbook diagnostique les problèmes courants liés à un cluster Amazon Elastic Kubernetes Service (Amazon EKS) et à l'infrastructure sous-jacente, et propose des mesures correctives recommandées.
**Important**
L'accès aux `AWSPremiumSupport-*` runbooks nécessite un abonnement Business \$1 Support, Enterprise Support ou Unified Operations. Pour plus d'informations, voir [Comparer les AWS Support forfaits](https://aws.amazon.com/premiumsupport/plans/).
Si vous spécifiez une valeur pour le `S3BucketName` paramètre, l'automatisation évalue l'état de la politique du bucket Amazon Simple Storage Service (Amazon S3) que vous spécifiez. Pour renforcer la sécurité des journaux collectés depuis votre instance EC2, si le statut de la politique `isPublic` est défini sur`true`, ou si la liste de contrôle d'accès (ACL) accorde des `READ|WRITE` autorisations au groupe prédéfini `All Users` Amazon S3, les journaux ne sont pas chargés. Pour plus d'informations sur les groupes prédéfinis Amazon S3, consultez les [groupes prédéfinis Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html#specifying-grantee-predefined-groups) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-TroubleshootEKSCluster)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ ClusterName
Type : Chaîne
Description : (Obligatoire) Nom du cluster Amazon EKS que vous souhaitez dépanner.
+ S3 BucketName
Type : Chaîne
Description : (Obligatoire) Le nom du compartiment privé Amazon S3 dans lequel le rapport généré par le runbook doit être chargé.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceTypes`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeNatGateways`
+ `ec2:DescribeVpcs`
+ `ec2:DescribeNetworkAcls`
+ `iam:GetInstanceProfile`
+ `iam:ListInstanceProfiles`
+ `iam:ListAttachedRolePolicies`
+ `eks:DescribeCluster`
+ `eks:ListNodegroups`
+ `eks:DescribeNodegroup`
+ `autoscaling:DescribeAutoScalingGroups`
En outre, la politique Gestion des identités et des accès AWS (IAM) attachée à l'utilisateur ou au rôle qui lance l'automatisation doit autoriser l'`ssm:GetParameter`opération selon les AWS Systems Manager paramètres publics suivants afin d'obtenir le dernier Amazon EKS Amazon Machine Image (AMI) recommandé pour les nœuds de travail.
+ `arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2/recommended/image_id`
+ `arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Core-EKS_Optimized-*/image_id`
+ `arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-EKS_Optimized-*/image_id`
+ `arn:aws:ssm:::parameter/aws/service/ami-windows-latest/Windows_Server-1909-English-Core-EKS_Optimized-*/image_id`
+ `arn:aws:ssm:::parameter/aws/service/eks/optimized-ami/*/amazon-linux-2-gpu/recommended/image_id`
Pour télécharger le rapport généré par le runbook dans un compartiment Amazon S3, les autorisations suivantes sont requises pour le compartiment Amazon S3 que vous spécifiez.
+ `s3:GetBucketPolicyStatus`
+ `s3:GetBucketAcl`
+ `s3:PutObject`
**Étapes de document**
+ `aws:executeAwsApi`- Rassemble les informations relatives au cluster Amazon EKS spécifié.
+ `aws:executeScript`- Recueille des informations sur les instances Amazon Elastic Compute Cloud (Amazon EC2), les groupes Auto Scaling AMI et les types d'instances graphiques de GPU Amazon EC2.
+ `aws:executeScript`- Recueille des informations sur le cloud privé virtuel (VPC), les sous-réseaux, les passerelles de traduction d'adresses réseau (NAT), les itinéraires de sous-réseau, les groupes de sécurité et les listes de contrôle d'accès réseau (ACLs) du cluster Amazon EKS.
+ `aws:executeScript`- Rassemble les détails des profils d'instance IAM attachés et des politiques de rôle.
+ `aws:executeScript`- Rassemble les détails du compartiment Amazon S3 que vous spécifiez dans le `S3BucketName` paramètre.
+ `aws:executeScript`- Classifie les sous-réseaux Amazon VPC comme publics ou privés.
+ `aws:executeScript`- Vérifie les sous-réseaux Amazon VPC pour détecter les balises requises dans le cadre d'un cluster Amazon EKS.
+ `aws:executeScript`- Vérifie dans les sous-réseaux Amazon VPC les balises requises pour les sous-réseaux Elastic Load Balancing.
+ `aws:executeScript`- Vérifie si les instances Amazon EC2 du nœud de travail utilisent les dernières versions optimisées d'Amazon EKS AMI
+ `aws:executeScript`- Vérifie si les groupes de sécurité Amazon VPC attachés aux nœuds de travail contiennent les balises requises.
+ `aws:executeScript`- Vérifie que les règles du groupe de sécurité Amazon VPC du cluster Amazon EKS et du nœud de travail sont conformes aux règles d'entrée recommandées dans le cluster Amazon EKS.
+ `aws:executeScript`- Vérifie les règles du groupe de sécurité Amazon EKS du cluster Amazon EKS et du nœud de travail Amazon VPC pour vérifier les règles de sortie recommandées depuis le cluster Amazon EKS.
+ `aws:executeScript`- Vérifie la configuration réseau ACL des sous-réseaux Amazon VPC.
+ `aws:executeScript`- Vérifie si les instances Amazon EC2 du nœud de travail disposent des politiques gérées requises.
+ `aws:executeScript`- Vérifie si les groupes Auto Scaling possèdent les balises nécessaires à l'autoscaling des clusters.
+ `aws:executeScript`- Vérifie si les instances Amazon EC2 du nœud de travail sont connectées à Internet.
+ `aws:executeScript`- Génère un rapport basé sur les résultats des étapes précédentes. Si une valeur est spécifiée pour le `S3BucketName` paramètre, le rapport généré est chargé dans le compartiment Amazon S3.
# `AWSSupport-TroubleshootEKSWorkerNode`
**Description**
Le `AWSSupport-TroubleshootEKSWorkerNode` runbook analyse un nœud de travail Amazon Elastic Compute Cloud (Amazon EC2) et un cluster Amazon Elastic Kubernetes Service (Amazon EKS) pour vous aider à identifier et à résoudre les causes courantes qui empêchent les nœuds de travail de rejoindre un cluster. Le runbook fournit des conseils pour vous aider à résoudre les problèmes identifiés.
**Important**
Pour exécuter correctement cette automatisation, l'état de votre nœud de travail Amazon EC2 doit être égal `running` à celui du cluster Amazon EKS. `ACTIVE`
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootEKSWorkerNode)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ ClusterName
Type : Chaîne
Description : (Obligatoire) Nom du cluster Amazon EKS.
+ ID du travailleur
Type : Chaîne
Description : (Obligatoire) L'ID du nœud de travail Amazon EC2 qui n'a pas réussi à rejoindre le cluster.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:DescribeDhcpOptions`
+ `ec2:DescribeImages`
+ `ec2:DescribeInstanceAttribute`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceStatus`
+ `ec2:DescribeNatGateways`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcAttribute`
+ `ec2:DescribeVpcEndpoints`
+ `ec2:DescribeVpcs`
+ `eks:DescribeCluster`
+ `iam:GetInstanceProfile`
+ `iam:GetRole`
+ `iam:ListAttachedRolePolicies`
+ `ssm:DescribeInstanceInformation`
+ `ssm:ListCommandInvocations`
+ `ssm:ListCommands`
+ `ssm:SendCommand`
**Étapes de document**
+ `aws:assertAwsResourceProperty`- Confirme que le cluster Amazon EKS que vous spécifiez dans le `ClusterName` paramètre existe et est dans un `ACTIVE` état.
+ `aws:assertAwsResourceProperty`- Confirme que le nœud de travail Amazon EC2 que vous spécifiez dans le `WorkerID` paramètre existe et est dans un `running` état.
+ `aws:executeScript`- Exécute un script Python qui permet d'identifier les causes possibles de l'échec du nœud de travail à rejoindre le cluster.
# `AWS-UpdateEKSCluster`
**Description**
Le `AWS-UpdateEKSCluster` runbook vous aide à mettre à jour votre cluster Amazon Elastic Kubernetes Service (Amazon EKS) vers la version de Kubernetes que vous souhaitez utiliser.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-UpdateEKSCluster)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ ClusterName
Type : Chaîne
Description : (Obligatoire) Le nom de votre cluster Amazon EKS.
+ Version
Type : Chaîne
Description : (Obligatoire) Version de Kubernetes vers laquelle vous souhaitez mettre à jour votre cluster.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `eks:DescribeUpdate`
+ `eks:UpdateClusterVersion`
**Étapes de document**
+ `aws:executeAwsApi`- Met à jour la version de Kubernetes utilisée par votre cluster Amazon EKS.
+ `aws:waitForAwsResourceProperty`- Attend que l'état de la mise à jour soit atteint. `Successful`
# `AWS-UpdateEKSManagedNodeGroup`
**Description**
Le `AWS-UpdateEKSManagedNodeGroup` runbook vous aide à mettre à jour un groupe de nœuds géré par Amazon Elastic Kubernetes Service (Amazon EKS). Vous pouvez choisir un `Version` ou `Configuration` mettre à jour.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-UpdateEKSManagedNodeGroup)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ ClusterName
Type : Chaîne
Description : (Obligatoire) Nom du cluster dont vous souhaitez mettre à jour le groupe de nœuds.
+ NodeGroupName
Type : Chaîne
Description : (Obligatoire) Nom du groupe de nœuds à mettre à jour.
+ UpdateType
Type : Chaîne
Valeurs valides : Mettre à jour la version du groupe de nœuds \$1 Mettre à jour les configurations du groupe de nœuds
Par défaut : Mettre à jour la version du groupe de nœuds
Description : (Obligatoire) Type de mise à jour que vous souhaitez effectuer sur le groupe de nœuds.
Les paramètres suivants s'appliquent uniquement au type de `Version` mise à jour :
+ AMIReleaseVersion
Type : Chaîne
Description : (Facultatif) La version optimisée d'Amazon EKS AMI que vous souhaitez utiliser. Par défaut, c'est la dernière version qui est utilisée.
+ ForceUpgrade
Type : Boolean
Description : (Facultatif) Si c'est vrai, la mise à jour n'échouera pas en cas de violation du budget lié à l'interruption du module.
+ KubernetesVersion
Type : Chaîne
Description : (Facultatif) Version de Kubernetes vers laquelle mettre à jour le groupe de nœuds.
+ LaunchTemplateId
Type : Chaîne
Description : (Facultatif) L'ID du modèle de lancement.
+ LaunchTemplateName
Type : Chaîne
Description : (Facultatif) Nom du modèle de lancement.
+ LaunchTemplateVersion
Type : Chaîne
Description : (Facultatif) Version du modèle de lancement d'Amazon Elastic Compute Cloud (Amazon EC2). Ce paramètre n'est valide que si un groupe de nœuds a été créé à partir d'un modèle de lancement.
Les paramètres suivants s'appliquent uniquement au type de `Configuration` mise à jour :
+ AddOrUpdateNodeGroupLabels
Type : StringMap
Description : (Facultatif) Étiquettes Kubernetes que vous souhaitez ajouter ou mettre à jour.
+ AddOrUpdateKubernetesTaintsEffect
Type : StringList
Description : (Facultatif) Les taches Kubernetes que vous souhaitez ajouter ou mettre à jour.
+ MaxUnavailableNodeGroups
Type : Integer
Par défaut : 0
Description : (Facultatif) Nombre maximal de nœuds indisponibles simultanément lors d'une mise à jour de version.
+ MaxUnavailablePercentageNodeGroup
Type : Integer
Par défaut : 0
Description : (Facultatif) Pourcentage de nœuds non disponibles lors d'une mise à jour de version.
+ NodeGroupDesiredSize
Type : Integer
Par défaut : 0
Description : (Facultatif) Nombre de nœuds que le groupe de nœuds gérés doit gérer.
+ NodeGroupMaxSize
Type : Integer
Par défaut : 0
Description : (Facultatif) Nombre maximal de nœuds que le groupe de nœuds gérés peut atteindre.
+ NodeGroupMinSize
Type : Integer
Par défaut : 0
Description : (Facultatif) Le nombre minimum de nœuds que le groupe de nœuds gérés peut atteindre.
+ RemoveKubernetesTaintsEffect
Type : StringList
Description : (Facultatif) Les taches de Kubernetes que vous souhaitez supprimer.
+ RemoveNodeGroupLabels
Type : StringList
Description : (Facultatif) Liste séparée par des virgules des libellés que vous souhaitez supprimer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `eks:UpdateNodegroupConfig`
+ `eks:UpdateNodegroupVersion`
**Étapes de document**
+ `aws:executeScript`- Met à jour un groupe de nœuds de cluster Amazon EKS en fonction des valeurs que vous spécifiez pour les paramètres d'entrée du runbook.
+ `aws:waitForAwsResourceProperty`- Attend que l'état de mise à jour du cluster soit atteint. `Successful`
# `AWS-UpdateEKSSelfManagedLinuxNodeGroups`
**Description**
Le `AWS-UpdateEKSSelfManagedLinuxNodeGroups` runbook met à jour les groupes de nœuds autogérés dans votre cluster Amazon Elastic Kubernetes Service (Amazon EKS) à l'aide d'une pile. AWS CloudFormation
Si votre cluster utilise le dimensionnement automatique, nous vous recommandons de réduire le déploiement à deux répliques avant d'utiliser ce runbook.
**Pour étendre un déploiement à deux répliques**
1. Installez l'utilitaire de ligne de commande Kubernetes,. `kubectl` Pour plus d'informations, consultez [Installation de kubectl](https://docs.aws.amazon.com/eks/latest/userguide/install-kubectl.html) dans le *Guide de l'utilisateur Amazon EKS*.
1. Exécutez la commande suivante.
```
kubectl scale deployments/cluster-autoscaler --replicas=2 -n kube-system
```
1. Lancez le `AWS-UpdateEKSSelfManagedLinuxNodeGroups` runbook.
1. Réduisez le déploiement au nombre de répliques souhaité en exécutant la commande suivante.
```
kubectl scale deployments/cluster-autoscaler --replicas=number -n kube-system
```
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-UpdateEKSSelfManagedLinuxNodeGroups)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ ClusterName
Type : Chaîne
Description : (Obligatoire) Nom du cluster Amazon EKS.
+ NodeGroupName
Type : Chaîne
Description : (Obligatoire) Nom du groupe de nœuds géré.
+ ClusterControlPlaneSecurityGroup
Type : Chaîne
Description : (Obligatoire) L'ID du groupe de sécurité du plan de contrôle.
+ Désactiver IMDSv1
Type : Boolean
Description : (Facultatif) Détermine si vous souhaitez autoriser les versions 1 du service de métadonnées d'instance (IMDSv1) et IMDSv2.
+ KeyName
Type : Chaîne
Description : (Facultatif) Le nom de clé des instances.
+ NodeAutoScalingGroupDesiredCapacity
Type : Chaîne
Description : (Facultatif) Nombre de nœuds que le groupe de nœuds doit gérer.
+ NodeAutoScalingGroupMaxSize
Type : Chaîne
Description : (Facultatif) Nombre maximal de nœuds que le groupe de nœuds peut atteindre.
+ NodeAutoScalingGroupMinSize
Type : Chaîne
Description : (Facultatif) Le nombre minimum de nœuds que le groupe de nœuds peut atteindre.
+ NodeInstanceType
Type : Chaîne
Par défaut : t3.large
Description : (Facultatif) Type d'instance que vous souhaitez utiliser pour le groupe de nœuds.
+ NodeImageId
Type : Chaîne
Description : (Facultatif) L'ID du Amazon Machine Image (AMI) que vous souhaitez que le groupe de nœuds utilise.
+ NodeImageIdSSMParam
Type : Chaîne
Par défaut :/aws/service/eks/optimized-ami/1.21/amazon-linux-2/recommended/image\$1id
Description : (Facultatif) Le paramètre public de Systems Manager AMI que vous souhaitez que le groupe de nœuds utilise.
+ StackName
Type : Chaîne
Description : (Obligatoire) Nom de la CloudFormation pile utilisée pour mettre à jour le groupe de nœuds.
+ Subnets
Type : Chaîne
Description : (Obligatoire) Liste séparée par des virgules IDs des sous-réseaux que vous souhaitez que votre cluster utilise.
+ VpcId
Type : Chaîne
Par défaut : Default
Description : (Obligatoire) Le cloud privé virtuel (VPC) sur lequel votre cluster est déployé.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `eks:CreateCluster`
+ `eks:CreateNodegroup`
+ `eks:DeleteNodegroup`
+ `eks:DeleteCluster`
+ `eks:DescribeCluster`
+ `eks:DescribeNodegroup`
+ `eks:ListClusters`
+ `eks:ListNodegroups`
+ `eks:UpdateClusterConfig`
+ `eks:UpdateNodegroupConfig`
**Étapes de document**
+ `aws:executeScript`- Met à jour un groupe de nœuds de cluster Amazon EKS en fonction des valeurs que vous spécifiez pour les paramètres d'entrée du runbook.
+ `aws:waitForAwsResourceProperty`- Attend que l'état de mise à jour de la CloudFormation pile soit renvoyé.
# `AWSSupport-CollectEKSLinuxNodeStatistics`
**Description**
Le `AWSSupport-CollectEKSLinuxNodeStatistics` runbook collecte des statistiques Linux à partir d'une instance Amazon EC2 faisant partie d'un cluster Amazon EKS et d'un conteneur exécuté sur l'instance si `containerd` un ID de conteneur est spécifié. L'instance Amazon EC2 doit être gérée par. AWS Systems Manager
Les statistiques Linux collectées au niveau de l'hôte incluent :
+ Informations sur le système d'exploitation.
+ Statistiques de l'interface réseau - depuis `ethtool` et `/sys/class/net/interface/statistics` répertoire.
+ Les descripteurs de fichiers comptent.
+ Les ports éphémères comptent.
+ Un tas de `iptables` règles.
+ Vérifiez s'il existe une table conntrack complète.
Les statistiques Linux au niveau du conteneur incluent :
+ Informations d'identification : URI et étiquettes de l'image.
+ Statistiques de l'interface réseau - depuis `ethtool` et `/sys/class/net/interface/statistics` répertoire.
+ Traceroute et résultats DNS si le `NetworkTargets` paramètre est renseigné.
+ Nombre d'analyses de capture de paquets : retransmissions TCP, paquets hors service, etc.
Le runbook collecte des données provenant de différentes distributions Linux, notamment Amazon Linux 2, Amazon Linux 2023 et Debian/Ubuntu. Il utilise les dernières versions des images suivantes issues de la galerie publique Amazon ECR :
+ `amazon-ecs-network-sidecar`image pour accéder aux outils de résolution des problèmes.
+ `aws-cli`image pour télécharger le fichier JSON du rapport de statistiques et les fichiers de capture de paquets dans le compartiment Amazon S3 spécifié.
**Important**
Ce runbook ne prend pas en charge les instances Fargate. Ce runbook peut échouer si l'instance est arrêtée ou déconnectée pendant l'exécution.
**Fonctionnement**
Le runbook exécute les actions suivantes :
+ Vérifie que le compartiment Amazon S3 cible n'accorde pas d'accès public en lecture ou en écriture.
+ Garantit que l'instance Amazon EC2 cible est gérée par Systems Manager et qu'elle est en cours d'exécution.
+ Vérifie que l'instance exécute un système d'exploitation Linux.
+ Collecte des statistiques Linux complètes à partir de l'instance Amazon EC2 et éventuellement à partir d'un conteneur spécifié.
+ Télécharge les statistiques collectées dans le compartiment Amazon S3 spécifié.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-CollectEKSLinuxNodeStatistics)
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes :
+ `s3:GetAccountPublicAccessBlock`
+ `s3:GetBucketPublicAccessBlock`
+ `s3:GetBucketAcl`
+ `s3:GetBucketPolicyStatus`
+ `s3:GetBucketLocation`
+ `s3:GetEncryptionConfiguration`
+ `s3:PutObject`
+ `ssm:DescribeInstanceInformation`
+ `ssm:SendCommand`
+ `ssm:GetCommandInvocation`
+ `ec2:DescribeInstances`
Exemple de politique IAM :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetAccountPublicAccessBlock"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicyStatus",
"s3:GetBucketLocation",
"s3:GetEncryptionConfiguration"
],
"Resource": "arn:aws:s3:::S3_BUCKET_NAME"
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::S3_BUCKET_NAME/*"
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ssm:*:*:document/AWS-RunShellScript",
"arn:aws:ec2:*:111122223333:instance/*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:GetCommandInvocation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances"
],
"Resource": "*"
}
]
}
```
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-CollectEKSLinuxNodeStatistics/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-CollectEKSLinuxNodeStatistics/description)à Systems Manager sous Documents.
1. Sélectionnez Execute automation (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
L'Amazon Resource Name (ARN) du rôle IAM qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **InstanceId (Obligatoire) :**
L'ID de l'instance Amazon EC2 utilisée pour collecter les statistiques.
+ **S3 BucketName (obligatoire) :**
Nom du compartiment Amazon S3 pour exporter la sortie JSON depuis l'instance Amazon EC2 sous forme de fichier.
+ **S3 KeyPrefix (facultatif) :**
Le préfixe de clé Amazon S3 (sous-dossier) permettant d'exporter la sortie JSON de l'instance Amazon EC2 sous forme de fichier. Valeur par défaut : `AWSSupport-CollectEKSLinuxNodeStatistics`.
+ **S3 BucketOwnerRoleArn (facultatif) :**
L'ARN du rôle IAM autorisé à obtenir les paramètres d'accès public au compartiment et au compte Amazon S3, à bloquer le compte, à configurer le chiffrement du compartiment, à connaître ACLs le statut de la politique du compartiment et à télécharger des objets dans le compartiment. Si ce paramètre n'est pas spécifié, le runbook utilise le `AutomationAssumeRole` (si spécifié) ou l'utilisateur qui démarre ce runbook (s'il n'`AutomationAssumeRole`est pas spécifié).
+ **S3 BucketOwnerAccount (facultatif) :**
Le AWS compte propriétaire du compartiment Amazon S3. Si vous ne spécifiez pas ce paramètre, le runbook part du principe que le bucket se trouve dans ce compte.
+ **ContainerId (Facultatif) :**
ID d'un conteneur exécuté sur l'instance Amazon EC2 spécifiée.
+ **NetworkTargets (Facultatif) :**
Liste d' IPv4 adresses, de noms and/or DNS séparés par des virgules pour tester la résolution DNS et la connectivité à l'aide de traceroute.
1. Sélectionnez Exécuter.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **`CheckBucketAccess`**:
Vérifie si le compartiment Amazon S3 cible accorde potentiellement un accès public en lecture et en and/or écriture à ses objets.
+ **`AssertInstanceIsSSMManaged`**:
Garantit que l'instance Amazon EC2 cible est gérée par Systems Manager, sinon l'automatisation prend fin.
+ **`VerifyInstanceState`**:
Vérifie que l'instance Amazon EC2 est en cours d'exécution avant de tenter de collecter des statistiques.
+ **`BranchOnVerifyLinuxInstance`**:
Vérifie que l'instance est une instance Linux avant de continuer.
+ **`BranchOnVerifyInstanceRunning`**:
Vérifie que l'instance est en cours d'exécution avant de continuer.
+ **`CollectEKSLinuxNodeStatistics`**:
Collecte des statistiques Linux complètes à partir de l'instance Amazon EC2, notamment des informations sur le système d'exploitation, des statistiques d'interface réseau, des descripteurs de fichiers, des ports éphémères, des règles de pare-feu et éventuellement des statistiques au niveau du conteneur.
+ **`GenerateStatisticsOutputS3Uri`**:
Génère l'URI Amazon S3 complet vers les fichiers de statistiques Linux à utiliser comme sortie du document d'automatisation.
1. Une fois terminé, consultez la section Sorties pour connaître les résultats détaillés de l'exécution.
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-CollectEKSLinuxNodeStatistics/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Support des flux de travail automatisés](https://aws.amazon.com/premiumsupport/technology/saw/)
# `AWSSupport-CollectEKSInstanceLogs`
**Description**
Le `AWSSupport-CollectEKSInstanceLogs` runbook rassemble les fichiers journaux relatifs au système d'exploitation et à Amazon Elastic Kubernetes Service (Amazon EKS) à partir d'une instance Amazon Elastic Compute Cloud (Amazon EC2) afin de vous aider à résoudre les problèmes courants. Pendant que l'automatisation collecte les fichiers journaux associés, des modifications sont apportées à la structure du système de fichiers, notamment la création de répertoires temporaires, la copie des fichiers journaux dans les répertoires temporaires et la compression des fichiers journaux dans une archive. Cette activité peut entraîner une augmentation de `CPUUtilization` l'instance Amazon EC2. Pour plus d'informations`CPUUtilization`, consultez la section [Mesures relatives aux instances](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/viewing_metrics_with_cloudwatch.html#ec2-cloudwatch-metrics) dans le *guide de CloudWatch l'utilisateur Amazon*.
Si vous spécifiez une valeur pour le `LogDestination` paramètre, l'automatisation évalue l'état de la politique du bucket Amazon Simple Storage Service (Amazon S3) que vous spécifiez. Pour renforcer la sécurité des journaux collectés depuis votre instance Amazon EC2, si le statut de la politique `isPublic` est défini sur`true`, ou si la liste de contrôle d'accès (ACL) accorde des `READ|WRITE` autorisations au groupe prédéfini `All Users` Amazon S3, les journaux ne sont pas chargés. Pour plus d'informations sur les groupes prédéfinis Amazon S3, consultez les [groupes prédéfinis Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html#specifying-grantee-predefined-groups) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
**Note**
Cette automatisation nécessite au moins 10 % de l'espace disque disponible sur le volume racine Amazon Elastic Block Store (Amazon EBS) attaché à votre instance Amazon EC2. Si l'espace disque disponible sur le volume racine est insuffisant, l'automatisation s'arrête.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-CollectEKSInstanceLogs)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ EKSInstanceID
Type : Chaîne
Description : ID (obligatoire) de l'instance Amazon EKS Amazon EC2 à partir de laquelle vous souhaitez collecter des journaux.
+ LogDestination
Type : Chaîne
Description : (Facultatif) Le compartiment Amazon Simple Storage Service (Amazon S3) de votre compte dans lequel télécharger les journaux archivés.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ssm:SendCommand`
**Autorisations IAM requises pour le profil d'instance Amazon EC2**
Le profil d'instance utilisé par le `EKSInstanceId` doit être associé à la politique gérée par **SSMManagedInstanceCoreAmazon**.
Il doit également être en mesure d'accéder au compartiment `LogDestination` Amazon S3 afin de pouvoir télécharger les journaux collectés. Vous trouverez ci-dessous un exemple de politique IAM qui pourrait être attachée à ce profil d'instance :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetBucketPolicyStatus",
"s3:GetBucketAcl"
],
"Resource": [
"arn:aws:s3:::LogDestination/*",
"arn:aws:s3:::LogDestination"
]
}
]
}
```
Si AWS KMS le chiffrement est `LogDestination` utilisé, une instruction supplémentaire doit être ajoutée à la politique IAM pour autoriser l'accès à la AWS KMS clé utilisée pour le chiffrement :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetBucketPolicyStatus",
"s3:GetBucketAcl"
],
"Resource": [
"arn:aws:s3:::LogDestination/*",
"arn:aws:s3:::LogDestination"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:REGION:ACCOUNT:key/KMS-KEY-ID"
}
]
}
```
**Étapes de document**
+ `aws:assertAwsResourceProperty`- Confirme que le système d'exploitation de la valeur spécifiée dans le `EKSInstanceId` paramètre est Linux.
+ `aws:runCommand`- Rassemble les fichiers journaux liés au système d'exploitation et à Amazon EKS, puis les compresse dans une archive dans le `/var/log` répertoire.
+ `aws:branch`- Confirme si une valeur a été spécifiée pour le `LogDestination` paramètre.
+ `aws:runCommand`- Télécharge l'archive du journal dans le compartiment Amazon S3 que vous spécifiez dans le `LogDestination` paramètre.
# `AWSSupport-SetupK8sApiProxyForEKS`
**Description**
Le manuel d'automatisation de **AWSSupport-SetupK8 sApiProxy ForeKS** fournit un moyen de créer une AWS Lambda fonction qui agit comme un proxy pour effectuer des appels d'API du plan de contrôle vers le point de terminaison du cluster Amazon Elastic Kubernetes Service. Il sert de base aux runbooks qui nécessitent des appels d'API du plan de contrôle pour automatiser les tâches et résoudre les problèmes liés à un cluster Amazon EKS.
**Important**
Toutes les ressources créées par cette automatisation sont étiquetées afin de pouvoir être facilement trouvées. Les balises utilisées sont les suivantes :
`AWSSupport-SetupK8sApiProxyForEKS` : true
**Note**
L'automatisation est un runbook auxiliaire et ne peut pas être exécuté en tant que runbook autonome. Il est invoqué en tant qu'automatisation secondaire pour les runbooks qui nécessitent des appels d'API du plan de contrôle vers le cluster Amazon EKS.
Assurez-vous de fonctionner après `Cleanup` utilisation pour éviter d'encourir des coûts indésirables.
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ ClusterName
Type : Chaîne
Description : (Obligatoire) Nom du cluster Amazon Elastic Kubernetes Service.
+ Opération
Type : Chaîne
Description : (Obligatoire) Opération à effectuer : `Setup` provisionne la fonction Lambda dans le compte, `Cleanup` désapprovisionnera les ressources créées dans le cadre de la phase de configuration.
Valeurs autorisées : `Setup` \$1 `Cleanup`
Par défaut : Configuration
+ LambdaRoleArn
Type : Chaîne
Description : (Facultatif) L'ARN du rôle IAM qui permet à la AWS Lambda fonction d'accéder aux AWS services et ressources requis. Si aucun rôle n'est spécifié, cette automatisation de Systems Manager créera un rôle IAM pour Lambda dans votre compte avec le `Automation-K8sProxy-Role-` nom qui inclut les politiques `AWSLambdaBasicExecutionRole` gérées : et. `AWSLambdaVPCAccessExecutionRole`
**Fonctionnement**
Le runbook exécute les étapes suivantes :
+ Valide que l'automatisation s'exécute en tant qu'exécution secondaire. Le runbook ne fonctionnera pas lorsqu'il est invoqué en tant que runbook autonome car il n'effectue aucun travail significatif à lui seul.
+ Vérifie la CloudFormation pile existante pour la fonction Lambda du proxy pour le cluster spécifié.
+ Si la pile existe, l'infrastructure existante est réutilisée au lieu de la recréer.
+ Un compteur de références est maintenu à l'aide de balises pour garantir qu'un runbook ne supprime pas l'infrastructure si elle est réutilisée par un autre runbook pour le même cluster.
+ Exécutez le type d'opération (`Setup`/`Cleanup`) spécifié pour l'invocation :
+ **Configuration :** crée ou décrit des ressources existantes.
**Nettoyage :** Supprime les ressources provisionnées si l'infrastructure n'est utilisée par aucun autre runbook.
**Autorisations IAM nécessaires**
Le `AutomationAssumeRole` paramètre nécessite que les autorisations suivantes ne ` LambdaRoleArn` soient pas transmises :
+ `cloudformation:CreateStack`
+ `cloudformation:DescribeStacks`
+ `cloudformation:DeleteStack`
+ `cloudformation:UpdateStack`
+ `ec2:CreateNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcs`
+ `ec2:DeleteNetworkInterface`
+ `eks:DescribeCluster`
+ `lambda:CreateFunction`
+ `lambda:DeleteFunction`
+ `lambda:ListTags`
+ `lambda:GetFunction`
+ `lambda:ListTags`
+ `lambda:TagResource`
+ `lambda:UntagResource`
+ `lambda:UpdateFunctionCode`
+ `logs:CreateLogGroup`
+ `logs:PutRetentionPolicy`
+ `logs:TagResource`
+ `logs:UntagResource`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `logs:ListTagsForResource`
+ `iam:CreateRole`
+ `iam:AttachRolePolicy`
+ `iam:DetachRolePolicy`
+ `iam:PassRole`
+ `iam:GetRole`
+ `iam:DeleteRole`
+ `iam:TagRole`
+ `iam:UntagRole`
+ `tag:GetResources`
+ `tag:TagResources`
Lorsqu'elle `LambdaRoleArn` est fournie, l'automatisation n'a pas besoin de créer le rôle et les autorisations suivantes peuvent être exclues :
+ `iam:CreateRole`
+ `iam:DeleteRole`
+ `iam:TagRole`
+ `iam:UntagRole`
+ `iam:AttachRolePolicy`
+ `iam:DetachRolePolicy`
Vous trouverez ci-dessous un exemple de politique illustrant les autorisations requises ` AutomationAssumeRole` lorsque celles-ci ne `LambdaRoleArn` sont pas transmises :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"tag:GetResources",
"tag:TagResources",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DeleteNetworkInterface",
"eks:DescribeCluster",
"iam:GetRole",
"cloudformation:DescribeStacks",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"lambda:GetFunction",
"lambda:ListTags",
"logs:ListTagsForResource"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowActionsWithoutConditions"
},
{
"Condition": {
"StringEquals": {
"aws:RequestTag/AWSSupport-SetupK8sApiProxyForEKS": "true"
}
},
"Action": "iam:CreateRole",
"Resource": [
"arn:aws:iam::111122223333:role/Automation-K8sProxy*"
],
"Effect": "Allow",
"Sid": "AllowCreateRoleWithRequiredTag"
},
{
"Condition": {
"StringEquals": {
"aws:ResourceTag/AWSSupport-SetupK8sApiProxyForEKS": "true"
}
},
"Action": [
"iam:DeleteRole",
"iam:TagRole",
"iam:UntagRole"
],
"Resource": [
"arn:aws:iam::111122223333:role/Automation-K8sProxy*"
],
"Effect": "Allow",
"Sid": "IAMActions"
},
{
"Condition": {
"StringEquals": {
"aws:ResourceTag/AWSSupport-SetupK8sApiProxyForEKS": "true"
},
"StringLike": {
"iam:PolicyARN": [
"arn:aws:iam::111122223333:policy/service-role/AWSLambdaBasicExecutionRole",
"arn:aws:iam::111122223333:policy/service-role/AWSLambdaVPCAccessExecutionRole"
]
}
},
"Action": [
"iam:AttachRolePolicy",
"iam:DetachRolePolicy"
],
"Resource": [
"arn:aws:iam::111122223333:role/Automation-K8sProxy*"
],
"Effect": "Allow",
"Sid": "AttachRolePolicy"
},
{
"Condition": {
"StringEquals": {
"aws:ResourceTag/AWSSupport-SetupK8sApiProxyForEKS": "true"
}
},
"Action": [
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:TagResource",
"lambda:UntagResource",
"lambda:UpdateFunctionCode"
],
"Resource": "arn:aws:lambda:us-east-1:111122223333:function:Automation-K8sProxy*",
"Effect": "Allow",
"Sid": "LambdaActions"
},
{
"Condition": {
"StringEquals": {
"aws:ResourceTag/AWSSupport-SetupK8sApiProxyForEKS": "true"
}
},
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:UpdateStack"
],
"Resource": "arn:aws:cloudformation:us-east-1:111122223333:stack/AWSSupport-SetupK8sApiProxyForEKS*",
"Effect": "Allow",
"Sid": "CloudFormationActions"
},
{
"Condition": {
"StringEquals": {
"aws:ResourceTag/AWSSupport-SetupK8sApiProxyForEKS": "true"
}
},
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:PutRetentionPolicy",
"logs:TagResource",
"logs:UntagResource"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:/aws/lambda/Automation-K8sProxy*",
"arn:aws:logs:us-east-1:111122223333:log-group:/aws/lambda/Automation-K8sProxy*:*"
],
"Effect": "Allow",
"Sid": "LogsActions"
},
{
"Condition": {
"StringLikeIfExists": {
"iam:PassedToService": "lambda.amazonaws.com"
}
},
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::111122223333:role/Automation-K8sProxy-Role*"
],
"Effect": "Allow",
"Sid": "PassRoleToLambda"
}
]
}
```
------
Si le protocole `LambdaRoleArn` est adopté, veuillez vous assurer qu'il est assorti d'une [ AWSLambdaBasicExecutionRole ](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/details/arn%3Aaws%3Aiam%3A%3Aaws%3Apolicy%2Fservice-role%2FAWSLambdaBasicExecutionRole)politique pour les clusters publics et, en outre, [ AWSLambdaVPCAccessExecutionRole ](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/details/arn%3Aaws%3Aiam%3A%3Aaws%3Apolicy%2Fservice-role%2FAWSLambdaVPCAccessExecutionRole)pour les clusters privés.
**Ressources créées**
Les ressources suivantes sont créées pendant le `Setup` fonctionnement :
1. AWS Lambda fonction
1. Rôle IAM : rôle d'exécution Lambda, s'il n'est pas fourni.
1. CloudWatch Groupe de journaux (journaux Lambda)
*La fonction Lambda et le rôle d'exécution sont conservés jusqu'à ce que `Cleanup` l'opération soit exécutée. Le groupe de journaux Lambda sera conservé pendant 30 jours ou jusqu'à sa suppression manuelle.*
**Instructions**
Le runbook est un utilitaire d'assistance conçu pour être exécuté à partir d'autres runbooks en tant qu'automatisation secondaire. Il facilite la création d'une infrastructure permettant au runbook parent de passer des appels d'API du plan de contrôle Amazon EKS K8s. Pour utiliser le runbook, vous pouvez suivre les étapes ci-dessous dans le contexte de l'automatisation parent.
1. **Phase de configuration** : lancez l'automatisation à l'aide ` aws:executeAutomation` d'une opération d'action depuis le runbook qui souhaite effectuer des appels d'API du plan de contrôle Amazon EKS K8 avec l'opération définie sur. `Setup`
Exemple de paramètres d'entrée :
```
{
"AutomationAssumeRole": "",
"ClusterName": "",
"Operation": "Setup"
}
```
La sortie de l'`aws:executeAutomation`étape contiendra l'ARN de la fonction Lambda du proxy.
1. **Utilisation du proxy Lambda** : invoquez la fonction Lambda dans l'`aws:executeScript`action à l'aide d'une liste `boto3` de chemins d'appel ` Lambda.Client.invoke(...)` d'API et d'un jeton porteur. La fonction Lambda effectuera des `GET` appels HTTP vers le chemin spécifié en transmettant le jeton porteur dans l'en-tête d'autorisation.
Exemple d'événement d'appel Lambda :
```
{
"ApiCalls": ["/api/v1/pods/", ...],
"BearerToken": "..."
}
```
**Note**
Le jeton porteur doit être généré dans le cadre du script d'automatisation parent. Vous devez vous assurer que le principal exécutant le runbook parent dispose d'une autorisation en lecture seule sur le cluster Amazon EKS spécifié.
1. **Phase de nettoyage : lancez** l'automatisation à l'aide ` aws:executeAutomation` d'une opération d'action depuis le runbook qui souhaite effectuer des appels d'API du plan de contrôle Amazon EKS K8 avec l'opération définie sur. `Cleanup`
Exemple de paramètres d'entrée :
```
{
"AutomationAssumeRole": "",
"ClusterName": "",
"Operation": "Cleanup"
}
```
**Étapes d'automatisation**
1. **ValidateExecution**
+ Vérifie que l'automatisation ne s'exécute pas en tant qu'exécution autonome.
1. **CheckForExistingStack**
+ Vérifie si une CloudFormation pile a déjà été provisionnée pour le nom de cluster spécifié.
+ Renvoie le statut d'existence de la pile et indique si elle peut être supprimée en toute sécurité.
1. **BranchOnIsStackExists**
+ Étape de décision qui se ramifie en fonction de l'existence de la pile.
+ Itinéraires permettant soit de mettre à jour le nom de la pile existante, soit de procéder au branchement des opérations.
1. **UpdateStackName**
+ Met à jour la `StackName` variable avec le nom de la pile existante.
+ Exécuté uniquement si la pile existe déjà.
1. **BranchOnOperation**
+ Achemine l'automatisation en fonction du `Operation` paramètre (`Setup`/`Cleanup`).
+ Pour `Setup` : itinéraires permettant de créer une nouvelle pile ou de décrire des ressources existantes.
+ Pour `Cleanup` : procède à la suppression par pile si la suppression peut être effectuée en toute sécurité.
1. **GetClusterNetworkConfig**
+ Décrit le cluster Amazon EKS permettant d'obtenir la configuration VPC.
+ Récupère le point de terminaison, l'ID VPC, le IDs sous-réseau, l'ID du groupe de sécurité et les données de l'autorité de certification.
1. **ProvisionResources**
+ Crée une CloudFormation pile avec les ressources requises.
+ Fournit la fonction Lambda avec la configuration réseau nécessaire.
+ Balise toutes les ressources à des fins de suivi et de gestion.
1. **DescribeStackResources**
+ Récupère des informations sur la created/existing pile.
+ Obtient l'ARN de la fonction Lambda provisionnée.
1. **BranchOnIsLambdaDeploymentRequired**
+ Détermine si le déploiement du code Lambda est nécessaire.
+ Procède au déploiement uniquement pour les piles nouvellement créées.
1. **DeployLambdaFunctionCode**
+ Déploie le code de fonction Lambda à l'aide du package de déploiement.
+ Met à jour la fonction avec l'implémentation du proxy.
1. **AssertLambdaAvailable**
+ Vérifie que la mise à jour du code de fonction Lambda a réussi.
+ Attend que la fonction soit active`Successful`.
1. **PerformStackCleanup**
+ Supprime la CloudFormation pile et les ressources associées.
+ Exécuté en cours de `Cleanup` fonctionnement ou en cas d'échec de ` Setup` fonctionnement.
**Sorties**
*LambdaFunctionArn*: ARN de la fonction Lambda du proxy
**Références**
Systems Manager Automation
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Support des flux de travail automatisés](https://aws.amazon.com/premiumsupport/technology/saw/)
# `AWSSupport-TroubleshootEbsCsiDriversForEks`
**Description**
Le `AWSSupport-TroubleshootEbsCsiDriversForEks` runbook permet de résoudre les problèmes liés aux montages en volume Amazon Elastic Block Store dans Amazon Elastic Kubernetes Service (Amazon EKS) et les problèmes de pilote Amazon EBS Container Storage Interface (CSI)
**Important**
Actuellement, le pilote Amazon EBS CSI en cours d'exécution n' AWS Fargate est pas pris en charge.
**Fonctionnement**
Le runbook `AWSSupport-TroubleshootEbsCsiDriversForEks` exécute les étapes de haut niveau suivantes :
+ Vérifie si le cluster Amazon EKS cible existe et est en état actif.
+ Déploie les ressources d'authentification nécessaires pour effectuer des appels d'API Kubernetes selon que l'addon est géré par Amazon EKS ou autogéré.
+ Effectue des tests de santé et des diagnostics du contrôleur Amazon EBS CSI.
+ Exécute des contrôles d'autorisations IAM sur les rôles de nœud et les rôles de compte de service.
+ Diagnostique les problèmes persistants de création de volumes pour le pod d'application spécifié.
+ Vérifie node-to-pod la planification et examine les événements du pod.
+ Collecte les journaux Kubernetes et les journaux d'applications pertinents, puis les télécharge dans le compartiment Amazon S3 spécifié.
+ Effectue des vérifications de l'état des nœuds et vérifie la connectivité avec les points de terminaison Amazon EC2.
+ Vérifie les fixations des périphériques à blocs de volume persistants et l'état de montage.
+ Nettoie l'infrastructure d'authentification créée lors du dépannage.
+ Génère un rapport de dépannage complet combinant tous les résultats de diagnostic.
**Note**
Le mode d'authentification du cluster Amazon EKS doit être défini sur `API` ou`API_AND_CONFIG_MAP`. Nous vous recommandons d'utiliser l'entrée Amazon EKS Access. Le runbook nécessite des autorisations de contrôle d'accès basé sur les rôles (RBAC) Kubernetes pour effectuer les appels d'API nécessaires.
Si vous ne spécifiez pas de rôle IAM pour la fonction Lambda `LambdaRoleArn` (paramètre), l'automatisation crée un rôle `Automation-K8sProxy-Role-` nommé dans votre compte. Ce rôle inclut les politiques gérées `AWSLambdaBasicExecutionRole` et`AWSLambdaVPCAccessExecutionRole`.
Certaines étapes de diagnostic nécessitent que les nœuds de travail Amazon EKS soient des instances gérées par Systems Manager. Si les nœuds ne sont pas des instances gérées par Systems Manager, les étapes nécessitant un accès à Systems Manager sont ignorées, mais les autres vérifications se poursuivent.
L'automatisation inclut une étape de nettoyage qui supprime les ressources de l'infrastructure d'authentification. Cette étape de nettoyage s'exécute même en cas d'échec des étapes précédentes, ce qui permet d'éviter que des ressources orphelines ne se retrouvent dans votre AWS compte.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootEbsCsiDriversForEks)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
/
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:DescribeIamInstanceProfileAssociations`
+ `ec2:DescribeInstanceStatus`
+ `ec2:GetEbsEncryptionByDefault`
+ `eks:DescribeAddon`
+ `eks:DescribeAddonVersions`
+ `eks:DescribeCluster`
+ `iam:GetInstanceProfile`
+ `iam:GetOpenIDConnectProvider`
+ `iam:GetRole`
+ `iam:ListOpenIDConnectProviders`
+ `iam:SimulatePrincipalPolicy`
+ `s3:GetBucketLocation`
+ `s3:GetBucketPolicyStatus`
+ `s3:GetBucketPublicAccessBlock`
+ `s3:GetBucketVersioning`
+ `s3:ListBucket`
+ `s3:ListBucketVersions`
+ `ssm:DescribeInstanceInformation`
+ `ssm:GetAutomationExecution`
+ `ssm:GetDocument`
+ `ssm:ListCommandInvocations`
+ `ssm:ListCommands`
+ `ssm:SendCommand`
+ `ssm:StartAutomationExecution`
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Créez un rôle d'automatisation SSM `TroubleshootEbsCsiDriversForEks-SSM-Role` dans votre compte. Vérifiez que la relation d'approbation contient la politique suivante.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Associez la politique ci-dessous au rôle IAM pour accorder les autorisations requises pour effectuer les actions spécifiées sur les ressources spécifiées.
+ Si vous prévoyez de télécharger les journaux d'exécution et de ressources dans le compartiment Amazon S3 situé dans AWS la même région, remplacez-les par `arn:{partition}:s3:::BUCKET_NAME/*` le vôtre dans`OptionalRestrictPutObjects`.
+ Le compartiment Amazon S3 doit pointer vers le bon compartiment Amazon S3 si vous le sélectionnez `S3BucketName` lors de l'exécution du SSM.
+ Cette autorisation est facultative si vous ne spécifiez pas `S3BucketName`
+ Le compartiment Amazon S3 doit être privé et se trouver dans la même AWS région que celle où vous exécutez l'automatisation SSM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "OptionalRestrictPutObjects",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DescribeInstanceStatus",
"ec2:GetEbsEncryptionByDefault",
"eks:DescribeAddon",
"eks:DescribeAddonVersions",
"eks:DescribeCluster",
"iam:GetInstanceProfile",
"iam:GetOpenIDConnectProvider",
"iam:GetRole",
"iam:ListOpenIDConnectProviders",
"iam:SimulatePrincipalPolicy",
"s3:GetBucketLocation",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketVersioning",
"s3:ListBucket",
"s3:ListBucketVersions",
"ssm:DescribeInstanceInformation",
"ssm:GetAutomationExecution",
"ssm:GetDocument",
"ssm:ListCommandInvocations",
"ssm:ListCommands",
"ssm:SendCommand",
"ssm:StartAutomationExecution"
],
"Resource": "*"
},
{
"Sid": "SetupK8sApiProxyForEKSActions",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:UpdateStack",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"eks:DescribeCluster",
"iam:CreateRole",
"iam:DeleteRole",
"iam:GetRole",
"iam:TagRole",
"iam:UntagRole",
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:GetFunction",
"lambda:InvokeFunction",
"lambda:ListTags",
"lambda:TagResource",
"lambda:UntagResource",
"lambda:UpdateFunctionCode",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:ListTagsForResource",
"logs:PutLogEvents",
"logs:PutRetentionPolicy",
"logs:TagResource",
"logs:UntagResource",
"ssm:DescribeAutomationExecutions",
"tag:GetResources",
"tag:TagResources"
],
"Resource": "*"
},
{
"Sid": "PassRoleToAutomation",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/TroubleshootEbsCsiDriversForEks-SSM-Role",
"arn:aws:iam::*:role/Automation-K8sProxy-Role-*"
],
"Condition": {
"StringLikeIfExists": {
"iam:PassedToService": [
"lambda.amazonaws.com",
"ssm.amazonaws.com"
]
}
}
},
{
"Sid": "AttachRolePolicy",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:DetachRolePolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"iam:ResourceTag/AWSSupport-SetupK8sApiProxyForEKS": "true"
}
}
}
]
}
```
------
1. Accordez les autorisations requises pour le RBAC (contrôle d'accès basé sur les rôles) du cluster Amazon EKS. L'approche recommandée consiste à créer une entrée d'accès dans votre cluster Amazon EKS.
Dans la console Amazon EKS, accédez à votre cluster. Pour les entrées d'accès Amazon EKS, vérifiez que votre configuration d'accès est définie sur `API_AND_CONFIG_MAP` ou`API`. Pour connaître les étapes de configuration du mode d'authentification pour les entrées d'accès, voir [Configuration des entrées d'accès](https://docs.aws.amazon.com//eks/latest/userguide/setting-up-access-entries.html).
Choisissez **Créer une entrée d'accès**.
+ Pour l'*ARN principal IAM*, sélectionnez le rôle IAM que vous avez créé pour l'automatisation SSM à l'étape précédente.
+ Pour *Type*, sélectionnez `Standard`.
1. Ajoutez une politique d'accès :
+ Pour *Étendue d'accès*, sélectionnez`Cluster`.
+ Dans *Nom de la politique*, sélectionnez`AmazonEKSAdminViewPolicy`.
Choisissez **Add policy (Ajouter la politique)**.
Si vous n'utilisez pas d'entrées d'accès pour gérer les autorisations de l'API Kubernetes, vous devez les mettre à jour `aws-auth` ConfigMap et créer une liaison de rôle entre votre utilisateur ou rôle IAM. Assurez-vous que votre entité IAM dispose des autorisations d'API Kubernetes en lecture seule suivantes :
+ GET `/apis/apps/v1/namespaces/{namespace}/deployments/{name}`
+ GET `/apis/apps/v1/namespaces/{namespace}/replicasets/{name}`
+ GET `/apis/apps/v1/namespaces/{namespace}/daemonsets/{name}`
+ GET `/api/v1/nodes/{name}`
+ GET `/api/v1/namespaces/{namespace}/serviceaccounts/{name}`
+ GET `/api/v1/namespaces/{namespace}/persistentvolumeclaims/{name}`
+ GET `/api/v1/persistentvolumes/{name}`
+ GET `/apis/storage.k8s.io/v1/storageclasses/{name}`
+ GET `/api/v1/namespaces/{namespace}/pods/{name}`
+ GET `/api/v1/namespaces/{namespace}/pods`
+ GET `/api/v1/namespaces/{namespace}/pods/{name}/log`
+ GET `/api/v1/events`
1. Exécuter l'automatisation [AWSSupport-TroubleshootEbsCsiDriversForEks (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootEbsCsiDriversForEks/description)
1. Sélectionnez **Execute automation** (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
+ Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à SSM Automation d'effectuer les actions en votre nom. Le rôle doit être ajouté à votre entrée d'accès au cluster Amazon EKS ou à votre autorisation RBAC pour autoriser les appels d'API Kubernetes.
+ Type : `AWS::IAM::Role::Arn`
+ Exemple : `TroubleshootEbsCsiDriversForEks-SSM-Role`
+ **EksClusterName:**
+ Description : nom du cluster Amazon Elastic Kubernetes Service (Amazon EKS) cible.
+ Type : `String`
+ **ApplicationPodName:**
+ Description : nom du pod d'application Kubernetes présentant des problèmes avec le pilote Amazon EBS CSI.
+ Type : `String`
+ **ApplicationNamespace:**
+ Description : l'espace de noms Kubernetes du pod d'application rencontre des problèmes avec le pilote Amazon EBS CSI.
+ Type : `String`
+ **EbsCsiControllerDeploymentName(Facultatif) :**
+ Description : (Facultatif) Nom de déploiement du pod de contrôleur Amazon EBS CSI.
+ Type : `String`
+ Valeur par défaut : `ebs-csi-controller`
+ **EbsCsiControllerNamespace(Facultatif) :**
+ Description : (Facultatif) L'espace de noms Kubernetes pour le pod de contrôleur Amazon EBS CSI.
+ Type : `String`
+ Valeur par défaut : `kube-system`
+ **S3 BucketName (facultatif) :**
+ Description : (Facultatif) Nom du compartiment Amazon S3 cible dans lequel les journaux de dépannage seront chargés.
+ Type : `AWS::S3::Bucket::Name`
+ **LambdaRoleArn (Facultatif) :**
+ Description : (Facultatif) L'ARN du rôle IAM qui permet à la AWS Lambda fonction d'accéder aux AWS services et ressources requis.
+ Type : `AWS::IAM::Role::Arn`
Sélectionnez **Exécuter**.
1. Une fois terminé, consultez la section *Sorties* pour connaître les résultats détaillés de l'exécution.
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootEbsCsiDriversForEks/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Support des flux de travail automatisés](https://aws.amazon.com/premiumsupport/technology/saw/)
Pour plus d'informations sur Amazon EBS CSI Driver, consultez [Amazon EBS](https://docs.aws.amazon.com//eks/latest/userguide/ebs-csi.html) CSI Driver.
# `AWSSupport-TroubleshootEKSALBControllerIssues`
**Description**
Le manuel `AWSSupport-TroubleshootEKSALBControllerIssues` d'automatisation permet de diagnostiquer les problèmes courants qui empêchent le AWS Load Balancer Controller de configurer et de gérer correctement Application Load Balancer (ALB) et Network Load Balancer (NLB) pour les entrées et les services Kubernetes.
Ce manuel effectue la end-to-end validation des composants essentiels, notamment la configuration du fournisseur d'identité OIDC, la configuration IRSA, les prérequis réseau, la configuration et les quotas ingress/service de ressources. Il capture également les journaux des contrôleurs et les configurations de ressources Kubernetes pertinentes pour aider à identifier les erreurs de configuration ou les problèmes opérationnels.
**Important**
Ce manuel d'automatisation est conçu pour les clusters Amazon EKS utilisant des groupes de nœuds Amazon Elastic Compute Cloud (Amazon EC2) et ne prend actuellement pas en charge les clusters exécutés sur. AWS Fargate
**Fonctionnement**
Le runbook `AWSSupport-TroubleshootEKSALBControllerIssues` exécute les étapes de haut niveau suivantes :
+ Valide l'état du cluster Amazon EKS, la configuration des entrées d'accès et la configuration du fournisseur OIDC.
+ Crée un proxy Lambda temporaire pour les communications avec l'API Kubernetes.
+ Vérifie le déploiement du AWS Load Balancer Controller et la configuration du compte de service.
+ Vérifie l'identité du pod, le webhook et l'injection de rôles IAM.
+ Valide la configuration et le balisage des sous-réseaux pour le provisionnement de l'Application Load Balancer et du Network Load Balancer.
+ Vérifie les quotas des comptes Application Load Balancer et Network Load Balancer par rapport à l'utilisation actuelle.
+ Valide les annotations relatives aux entrées et aux ressources de service.
+ Vérifie le balisage des groupes de sécurité des nœuds de travail pour l'intégration de l'équilibreur de charge.
+ Collecte les journaux du module de commande à des fins de diagnostic.
+ Nettoie les ressources d'authentification temporaires.
+ Génère un rapport de diagnostic contenant les résultats et les étapes de correction.
**Note**
Le cluster Amazon EKS doit disposer d'une entrée d'accès configurée pour l'entité IAM exécutant cette automatisation. Le mode d'authentification du cluster doit être défini sur `API` ou`API_AND_CONFIG_MAP`. Sans une configuration d'entrée d'accès appropriée, l'automatisation s'arrêtera lors de la validation initiale.
Le `LambdaRoleArn` paramètre est obligatoire et doit être `AWSLambdaVPCAccessExecutionRole` associé aux politiques AWS `AWSLambdaBasicExecutionRole` gérées pour permettre à la fonction proxy de communiquer avec l'API Kubernetes.
Le AWS Load Balancer Controller doit être une version `v2.1.1` ou ultérieure.
L'automatisation inclut une étape de nettoyage qui supprime les ressources de l'infrastructure d'authentification temporaire. Cette étape de nettoyage s'exécute même en cas d'échec des étapes précédentes, ce qui garantit qu'aucune ressource orpheline ne reste dans votre AWS compte.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootEKSALBControllerIssues)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
/
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `cloudformation:CreateStack`
+ `cloudformation:DeleteStack`
+ `cloudformation:DescribeStacks`
+ `cloudformation:UpdateStack`
+ `ec2:CreateNetworkInterface`
+ `ec2:DeleteNetworkInterface`
+ `ec2:DescribeInstances`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcs`
+ `eks:DescribeCluster`
+ `eks:ListAssociatedAccessPolicies`
+ `elasticloadbalancing:DescribeAccountLimits`
+ `elasticloadbalancing:DescribeLoadBalancers`
+ `iam:GetRole`
+ `iam:ListOpenIDConnectProviders`
+ `iam:PassRole`
+ `lambda:CreateFunction`
+ `lambda:DeleteFunction`
+ `lambda:GetFunction`
+ `lambda:InvokeFunction`
+ `lambda:ListTags`
+ `lambda:TagResource`
+ `lambda:UntagResource`
+ `lambda:UpdateFunctionCode`
+ `logs:CreateLogGroup`
+ `logs:CreateLogStream`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `logs:ListTagsForResource`
+ `logs:PutLogEvents`
+ `logs:PutRetentionPolicy`
+ `logs:TagResource`
+ `logs:UntagResource`
+ `ssm:DescribeAutomationExecutions`
+ `ssm:GetAutomationExecution`
+ `ssm:StartAutomationExecution`
+ `tag:GetResources`
+ `tag:TagResources`
**Instructions**
Pour configurer et exécuter l'automatisation, procédez comme suit :
**Note**
Avant d'exécuter l'automatisation, procédez comme suit pour configurer les rôles IAM requis : un pour que Systems Manager Automation exécute le runbook, et un autre pour que Lambda communique avec l'API Kubernetes :
Créez un rôle d'automatisation SSM `TroubleshootEKSALBController-SSM-Role` dans votre compte. Vérifiez que la relation d'approbation contient la politique suivante.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
Joignez la politique IAM suivante pour accorder les autorisations requises :
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "TroubleshootEKSALBControllerIssuesActions",
"Effect": "Allow",
"Action": [
"eks:DescribeCluster",
"eks:ListAssociatedAccessPolicies",
"iam:GetRole",
"iam:ListOpenIDConnectProviders",
"ssm:StartAutomationExecution",
"ssm:GetAutomationExecution",
"ssm:DescribeAutomationExecutions",
"ec2:DescribeSubnets",
"ec2:DescribeRouteTables",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeAccountLimits",
"ec2:DescribeInstances",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid": "SetupK8sApiProxyForEKSActions",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:UpdateStack",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"eks:DescribeCluster",
"iam:GetRole",
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:GetFunction",
"lambda:InvokeFunction",
"lambda:ListTags",
"lambda:TagResource",
"lambda:UntagResource",
"lambda:UpdateFunctionCode",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:ListTagsForResource",
"logs:PutLogEvents",
"logs:PutRetentionPolicy",
"logs:TagResource",
"logs:UntagResource",
"ssm:DescribeAutomationExecutions",
"tag:GetResources",
"tag:TagResources"
],
"Resource": "*"
},
{
"Sid": "PassRoleToAutomation",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"iam:PassedToService": [
"lambda.amazonaws.com",
"ssm.amazonaws.com"
]
}
}
}]
}
```
Configurez l'entrée d'accès pour votre cluster Amazon EKS. Il s'agit d'une exigence obligatoire pour l'automatisation. Pour connaître les étapes de configuration du mode d'authentification pour les entrées d'accès, voir [Configuration des entrées d'accès](https://docs.aws.amazon.com//eks/latest/userguide/setting-up-access-entries.html).
Dans la console Amazon EKS, accédez à votre cluster et procédez comme suit :
Dans la section **Accès**, vérifiez que votre configuration d'authentification est définie sur `API` ou`API_AND_CONFIG_MAP`.
Choisissez **Créer une entrée d'accès** et configurez :
Pour l'*ARN principal IAM*, sélectionnez le rôle IAM que vous avez créé ()`TroubleshootEKSALBController-SSM-Role`.
Pour *Type*, sélectionnez `Standard`.
Ajoutez une politique d'accès :
Dans *Nom de la politique*, sélectionnez`AmazonEKSAdminViewPolicy`.
Pour *Étendue d'accès*, sélectionnez`Cluster`.
Choisissez **Add policy (Ajouter la politique)**.
Vérifiez les informations et choisissez **Create**.
Créez un rôle IAM pour la fonction Lambda (référencé `LambdaRoleArn` comme dans les paramètres d'entrée) :
Créez un nouveau rôle IAM avec la politique de confiance suivante :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
Associez les politiques AWS gérées suivantes à ce rôle :
`AWSLambdaBasicExecutionRole`
`AWSLambdaVPCAccessExecutionRole`
Notez l'ARN de ce rôle, car vous en aurez besoin pour le paramètre `LambdaRoleArn` d'entrée.
1. Accédez [AWSSupport-TroubleshootEKSALBControllerIssues](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootEKSALBControllerIssues/description)à la console AWS Systems Manager.
1. Choisissez **Execute automation (Exécuter l’automatisation)**.
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
Type : AWS::IAM::Role ::Arn
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer des actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
Modèle autorisé : ^arn :( ? :aws\$1aws-cn\$1aws-us-gov) :iam : : \$1 d \$112\$1 :role/ ? [A-za-Z\$10-9\$1=, .@ \$1 -\$1/] \$1\$1
+ **EksClusterName (Obligatoire) :**
Type : Chaîne
Description : (Obligatoire) Nom du cluster Amazon Elastic Kubernetes Service (Amazon EKS).
Modèle autorisé : ^ [0-9A-zA-Z] [A-zA-Z0-9-\$1] \$10,99\$1 \$1
+ **ALBControllerDeploymentName (Facultatif) :**
Type : Chaîne
Description : (Facultatif) Le nom du déploiement du AWS Load Balancer Controller dans votre cluster Amazon EKS. Il s'agit généralement de « aws-load-balancer-controller », sauf si vous l'avez personnalisé lors de l'installation.
Modèle autorisé : ^ [a-z0-9] ([-.a-z0-9] \$10,251\$1 [a-z0-9]) ? \$1
Par défaut : aws-load-balancer-controller
+ **ALBControllerEspace de noms (facultatif) :**
Type : Chaîne
Description : (Facultatif) L'espace de noms Kubernetes dans lequel le Load Balancer Controller AWS est déployé. Par défaut, il s'agit de « kube-system », mais cela peut être différent si vous avez installé le contrôleur dans un espace de noms personnalisé.
Modèle autorisé : ^ [a-z0-9] ([-a-z0-9] \$10,61\$1 [a-z0-9]) ? \$1
Par défaut : kube-system
+ **ServiceAccountName (Facultatif) :**
Type : Chaîne
Description : (Facultatif) Nom du compte de service Kubernetes associé au Load Balancer AWS Controller. Il s'agit généralement de « aws-load-balancer-controller » à moins que cela ne soit personnalisé lors de l'installation.
Modèle autorisé : ^ [a-z0-9] ([-.a-z0-9] \$10,251\$1 [a-z0-9]) ? \$1
Par défaut : aws-load-balancer-controller
+ **ServiceAccountNamespace (Facultatif) :**
Type : Chaîne
Description : (Facultatif) L'espace de noms Kubernetes dans lequel se trouve le compte de service du Load Balancer Controller AWS . Il s'agit généralement d'un « kube-system », mais cela peut être différent si vous avez utilisé un espace de noms personnalisé.
Modèle autorisé : ^ [a-z0-9] ([-a-z0-9] \$10,61\$1 [a-z0-9]) ? \$1
Par défaut : kube-system
+ **IngressName (Facultatif) :**
Type : Chaîne
Description : (Facultatif) Nom de la ressource d'entrée à valider (Application Load Balancer). Si elle n'est pas spécifiée, la validation d'entrée sera ignorée.
Modèle autorisé : ^\$1\$1^ [a-z0-9] [a-z0-9.-] \$10,251\$1 [a-z0-9] \$1
Par défaut : « » (chaîne vide)
+ **IngressNamespace (Facultatif) :**
Type : Chaîne
Description : (Facultatif) Espace de noms de la ressource Ingress. Obligatoire si cela `IngressName` est spécifié.
Modèle autorisé : ^\$1\$1^ [a-z0-9] [a-z0-9-] \$10,61\$1 [a-z0-9] \$1
Par défaut : « » (chaîne vide)
+ **ServiceName (Facultatif) :**
Type : Chaîne
Description : (Facultatif) Nom d'une ressource de service spécifique pour valider les annotations du Network Load Balancer (Network Load Balancer). Si elle n'est pas spécifiée, la validation des ressources du service sera ignorée.
Modèle autorisé : ^\$1\$1^ [a-z0-9] [a-z0-9.-] \$10,251\$1 [a-z0-9] \$1
Par défaut : « » (chaîne vide)
+ **ServiceNamespace (Facultatif) :**
Type : Chaîne
Description : (Facultatif) Espace de noms de la ressource de service. Obligatoire si cela `ServiceName` est spécifié.
Modèle autorisé : ^\$1\$1^ [a-z0-9] [a-z0-9-] \$10,61\$1 [a-z0-9] \$1
Par défaut : « » (chaîne vide)
+ **LambdaRoleArn (Obligatoire) :**
Type : AWS::IAM::Role ::Arn
Description : (Obligatoire) L'ARN du rôle IAM qui permet à la fonction AWS Lambda (Lambda) d'accéder aux services et ressources AWS requis. Associez les politiques AWS gérées : `AWSLambdaBasicExecutionRole` et `AWSLambdaVPCAccessExecutionRole` à votre rôle IAM d'exécution de fonctions Lambda.
Modèle autorisé : ^arn :( ? :aws\$1aws-cn\$1aws-us-gov) :iam : : \$1 d \$112\$1 :role/ ? [A-za-Z\$10-9\$1=, .@ \$1 -\$1/] \$1\$1
1. Sélectionnez **Execute (Exécuter)**.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
1. **ValidateAccessEntryAndOIDCProvider:**
Valide la configuration IAM du cluster Amazon EKS en vérifiant les autorisations d'accès et la configuration du fournisseur OIDC.
1. **Configuration K8 sAuthenticationClient :**
Exécutez le document SAW AWSSupport-SetupK 8 sApiProxy Foreks pour configurer une fonction lambda afin d'exécuter des appels d'API Amazon EKS sur le cluster.
1. **Vérifiez ALBController et IRSASetup :**
Vérifie si le compte de service et le contrôleur Application Load Balancer donnés existent dans leurs espaces de noms respectifs. Vérifie également la politique d'annotation et de confiance des rôles de compte de service du contrôleur Application Load Balancer.
1. **VerifyPodIdentityWebhookAndEnv:**
Vérifie s'il pod-identity-webhook est en cours d'exécution. Vérifie également si l'IRSA est injecté dans les variables ENV du pod.
1. **ValidateSubnetRequirements:**
Vérifiez au moins deux sous-réseaux dans deux AZ avec 8 adresses IP disponibles. Un balisage de sous-réseau approprié existe pour public/private les équilibreurs de charge.
1. **CheckLoadBalancerLimitsAndUsage:**
Comparez la limite du compte au nombre d'Application Load Balancer et de Network Load Balancer.
1. **CheckIngressOrServiceAnnotations:**
Vérifie que les annotations et les spécifications sont correctes dans les ressources d'entrée et de service afin de s'assurer qu'elles sont correctement configurées pour l'utilisation de l'Application Load Balancer et du Network Load Balancer.
1. **CheckWorkerNodeSecurityGroupTags:**
Vérifiez qu'un seul groupe de sécurité attaché aux nœuds de travail possède la balise de cluster requise.
1. **ALBControllerJournaux de capture :**
Récupère les derniers journaux de diagnostic des pods AWS Load Balancer Controller exécutés dans le cluster Amazon EKS.
1. **Nettoyage K8 : sAuthenticationClient**
Exécute le document SAW « AWSSupport-SetupK 8 sApiProxy FOREKS » à l'aide de l'opération « Cleanup » pour nettoyer les ressources créées dans le cadre de l'automatisation.
1. **GenerateReport:**
Génère le rapport d'automatisation.
1. Une fois l'exécution terminée, consultez la section Sorties pour obtenir les résultats détaillés de l'exécution :
1. **Rapport :**
Fournit un résumé complet de toutes les vérifications effectuées, y compris l'état du cluster Amazon EKS, la configuration du contrôleur Application Load Balancer, la configuration IRSA, les exigences du sous-réseau, les limites de l'équilibreur de charge, les ingress/service annotations, les balises du groupe de sécurité des nœuds de travail et les journaux du contrôleur Application Load Balancer. Il inclut également tous les problèmes identifiés et les mesures correctives recommandées.
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootEKSALBControllerIssues/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration de l'automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Support des flux de travail automatisés](https://aws.amazon.com/premiumsupport/technology/saw/)
Documentation relative au AWS Load Balancer Controller
+ [AWS Contrôleur Load Balancer](https://docs.aws.amazon.com//eks/latest/userguide/aws-load-balancer-controller.html)
+ [Configuration des entrées d'accès](https://docs.aws.amazon.com//eks/latest/userguide/setting-up-access-entries.html)
# Elastic Beanstalk
AWS Systems Manager L'automatisation fournit des runbooks prédéfinis pour AWS Elastic Beanstalk. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSSupport-CollectElasticBeanstalkLogs`](automation-awssupport-collectbeanstalk-logs.md)
+ [`AWSConfigRemediation-EnableElasticBeanstalkEnvironmentLogStreaming`](automation-aws-enable-eb-logging.md)
+ [`AWSConfigRemediation-EnableBeanstalkEnvironmentNotifications`](automation-aws-enable-eb-notifications.md)
+ [`AWSSupport-TroubleshootElasticBeanstalk`](automation-awssupport-troubleshoot-elastic-beanstalk.md)
# `AWSSupport-CollectElasticBeanstalkLogs`
**Description**
Le `AWSSupport-CollectElasticBeanstalkLogs` runbook rassemble les fichiers journaux AWS Elastic Beanstalk associés à partir d'une instance Amazon Elastic Compute Cloud (Amazon Windows Server EC2) lancée par Elastic Beanstalk pour vous aider à résoudre les problèmes courants. Pendant que l'automatisation collecte les fichiers journaux associés, des modifications sont apportées à la structure du système de fichiers, notamment la création de répertoires temporaires, la copie des fichiers journaux dans les répertoires temporaires et la compression des fichiers journaux dans une archive. Cette activité peut entraîner une augmentation de `CPUUtilization` l'instance Amazon EC2. Pour plus d'informations`CPUUtilization`, consultez la section [Mesures relatives aux instances](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/viewing_metrics_with_cloudwatch.html#ec2-cloudwatch-metrics) dans le *guide de CloudWatch l'utilisateur Amazon*.
Si vous spécifiez une valeur pour le `S3BucketName` paramètre, l'automatisation évalue l'état de la politique du bucket Amazon Simple Storage Service (Amazon S3) que vous spécifiez. Pour renforcer la sécurité des journaux collectés depuis votre instance Amazon EC2, si le statut de la politique `isPublic` est défini sur`true`, ou si la liste de contrôle d'accès (ACL) accorde des `READ|WRITE` autorisations au groupe prédéfini `All Users` Amazon S3, les journaux ne sont pas chargés. Pour plus d'informations sur les groupes prédéfinis Amazon S3, consultez les [groupes prédéfinis Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html#specifying-grantee-predefined-groups) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
Si vous ne spécifiez aucune valeur pour le `S3BucketName` paramètre, l'automatisation télécharge le bundle de journaux dans le Région AWS bucket Amazon S3 Elastic Beanstalk par défaut dans lequel vous exécutez l'automatisation. Le répertoire est nommé selon la structure suivante,` elasticbeanstalk- region - accountID `. Les *accountID* valeurs *region* et varient en fonction de la région dans Compte AWS laquelle vous exécutez l'automatisation. Le paquet de journaux sera enregistré ` resources/environments/logs/bundle/ environmentID / instanceID ` dans le répertoire. Les *instanceID* valeurs *environmentID* et varieront en fonction de votre environnement Elastic Beanstalk et de l'instance Amazon EC2 à partir de laquelle vous collectez les logs.
Par défaut, le profil d'instance Gestion des identités et des accès AWS (IAM) attaché aux instances Amazon EC2 de l'environnement Elastic Beanstalk dispose des autorisations requises pour télécharger le bundle dans le compartiment Elastic Beanstalk Amazon S3 par défaut de votre environnement. Si vous spécifiez une valeur pour le `S3BucketName` paramètre, le profil d'instance attaché à l'instance Amazon EC2 doit autoriser les `s3:PutObject` actions`s3:GetBucketAcl`, `s3:GetBucketPolicy``s3:GetBucketPolicyStatus`, et pour le compartiment et le chemin Amazon S3 spécifiés.
**Note**
Cette automatisation nécessite au moins 500 Mo d'espace disque disponible sur le volume racine Amazon Elastic Block Store (Amazon EBS) attaché à votre instance Amazon EC2. Si l'espace disque disponible sur le volume racine est insuffisant, l'automatisation s'arrête.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-CollectElasticBeanstalkLogs)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ EnvironmentId
Type : Chaîne
Description : (Obligatoire) L'ID de votre environnement Elastic Beanstalk à partir duquel vous souhaitez collecter le bundle de logs.
+ InstanceId
Type : Chaîne
(Obligatoire) L'ID de l'instance Amazon EC2 de votre environnement Elastic Beanstalk à partir de laquelle vous souhaitez collecter le bundle de logs.
+ S3 BucketName
Type : Chaîne
(Facultatif) Le compartiment Amazon S3 dans lequel vous souhaitez télécharger les journaux archivés.
+ S3 BucketPath
Type : Chaîne
(Facultatif) Le chemin du compartiment Amazon S3 vers lequel vous souhaitez télécharger le bundle de journaux. Ce paramètre est ignoré si vous ne spécifiez aucune valeur pour le `S3BucketName` paramètre.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ssm:SendCommand`
+ `ssm:DescribeInstanceInformation`
+ `ec2:DescribeInstances`
**Étapes de document**
+ `aws:assertAwsResourceProperty`- Confirme que l'instance Amazon EC2 que vous spécifiez dans le `InstanceId` paramètre est gérée par. AWS Systems Manager
+ `aws:assertAwsResourceProperty`- Confirme que l'instance Amazon EC2 que vous spécifiez dans le `InstanceId` paramètre est une Windows Server instance.
+ `aws:runCommand`- Vérifie si l'instance fait partie d'un environnement Elastic Beanstalk, si l'espace disque est suffisant pour regrouper les journaux et si le compartiment Amazon S3 dans lequel les journaux seront téléchargés est public.
+ `aws:runCommand`- Collecte les fichiers journaux et télécharge l'archive dans le compartiment Amazon S3 spécifié dans le `S3BucketName` paramètre ou dans le compartiment par défaut de votre environnement Elastic Beanstalk si aucune valeur n'est spécifiée.
# `AWSConfigRemediation-EnableElasticBeanstalkEnvironmentLogStreaming`
**Description**
Le `AWSConfigRemediation-EnableElasticBeanstalkEnvironmentLogStreaming` runbook permet de se connecter à l'environnement AWS Elastic Beanstalk (Elastic Beanstalk) que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableElasticBeanstalkEnvironmentLogStreaming)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ EnvironmentId
Type : Chaîne
Description : (Obligatoire) L'ID de l'environnement Elastic Beanstalk auquel vous souhaitez activer la connexion.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `elasticbeanstalk:DescribeConfigurationSettings`
+ `elasticbeanstalk:DescribeEnvironments`
+ `elasticbeanstalk:UpdateEnvironment`
**Étapes de document**
+ `aws:executeAwsApi`- Active la journalisation sur l'environnement Elastic Beanstalk que vous spécifiez dans le paramètre. `EnvironmentId`
+ `aws:waitForAwsResourceProperty`- Attend que l'état de l'environnement passe à`Ready`.
+ `aws:executeScript`- Vérifie que la journalisation a été activée dans l'environnement Elastic Beanstalk.
# `AWSConfigRemediation-EnableBeanstalkEnvironmentNotifications`
**Description**
Le `AWSConfigRemediation-EnableBeanstalkEnvironmentNotifications` runbook active les notifications pour l'environnement AWS Elastic Beanstalk (Elastic Beanstalk) que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableBeanstalkEnvironmentNotifications)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ EnvironmentId
Type : Chaîne
Description : (Obligatoire) L'ID de l'environnement Elastic Beanstalk pour lequel vous souhaitez activer les notifications.
+ TopicArn
Type : Chaîne
Description : (Obligatoire) L'ARN de la rubrique Amazon Simple Notification Service (Amazon SNS) à laquelle vous souhaitez envoyer des notifications.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `elasticbeanstalk:DescribeConfigurationSettings`
+ `elasticbeanstalk:DescribeEnvironments`
+ `elasticbeanstalk:UpdateEnvironment`
**Étapes de document**
+ `aws:executeAwsApi`- Active les notifications pour l'environnement Elastic Beanstalk que vous spécifiez dans le paramètre. `EnvironmentId`
+ `aws:waitForAwsResourceProperty`- Attend que l'état de l'environnement passe à`Ready`.
+ `aws:executeScript`- Vérifie que les notifications ont été activées pour l'environnement Elastic Beanstalk.
# `AWSSupport-TroubleshootElasticBeanstalk`
**Description**
Le `AWSSupport-TroubleshootElasticBeanstalk` runbook vous aide à résoudre les causes potentielles pour lesquelles votre AWS Elastic Beanstalk environnement est dans un état `Degraded` ou`Severe`. Cette automatisation vérifie les AWS ressources suivantes associées à votre environnement Elastic Beanstalk :
+ Détails de configuration pour un équilibreur de charge, une AWS CloudFormation pile, un groupe Amazon EC2 Auto Scaling, des instances Amazon Elastic Compute Cloud (Amazon EC2) et un cloud privé virtuel (VPC).
+ Problèmes de configuration réseau liés aux règles de groupe de sécurité, aux tables de routage et aux listes de contrôle d'accès réseau (ACLs) associées à vos sous-réseaux.
+ Vérifie la connectivité aux points de terminaison Elastic Beanstalk et à l'accès public à Internet.
+ Vérifie l'état de l'équilibreur de charge.
+ Vérifie le statut des instances Amazon EC2.
+ Récupère un ensemble de journaux depuis votre environnement Elastic Beanstalk et télécharge éventuellement les fichiers vers. Support
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootElasticBeanstalk)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ ApplicationName
Type : Chaîne
Description : (Obligatoire) Le nom de votre application Elastic Beanstalk.
+ EnvironmentName
Type : Chaîne
Description : (Obligatoire) Le nom de votre environnement Elastic Beanstalk.
+ AWSS3UploaderLink
Type : Chaîne
Description : (Facultatif) URL qui vous a été fournie Support pour télécharger le bundle de logs depuis votre environnement Elastic Beanstalk vers. Cette option n'est disponible que pour les clients qui ont acheté un Support plan et qui ont ouvert un dossier de Support.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `autoscaling:Describe*`
+ `cloudformation:Describe*`
+ `cloudformation:Estimate*`
+ `cloudformation:Get*`
+ `cloudformation:List*`
+ `cloudformation:Validate*`
+ `cloudwatch:Describe*`
+ `cloudwatch:Get*`
+ `cloudwatch:List*`
+ `ec2:Describe*`
+ `elasticbeanstalk:Check*`
+ `elasticbeanstalk:Describe*`
+ `elasticbeanstalk:List*`
+ `elasticbeanstalk:RetrieveEnvironmentInfo*`
+ `elasticbeanstalk:RequestEnvironmentInfo*`
+ `elasticloadbalancing:Describe*`
+ `rds:Describe*`
+ `s3:Get*`
+ `s3:List*`
+ `sns:Get*`
+ `sns:List*`
**Étapes de document**
+ `aws:executeScript`- Vérifie que le principal Gestion des identités et des accès AWS (IAM) qui a lancé l'automatisation dispose des autorisations requises pour effectuer toutes les actions définies dans le runbook.
+ `aws:branch`- Divise le flux de travail en fonction des résultats de l'étape précédente.
+ `aws:executeScript`- Collecte des informations sur l'environnement Elastic Beanstalk, notamment l'équilibreur de charge CloudFormation , la pile, le groupe Auto Scaling, les instances Amazon EC2 et la configuration VPC.
+ `aws:executeScript`- Vérifie les problèmes de connectivité réseau liés aux tables de routage et ACLs aux sous-réseaux de votre VPC.
+ `aws:executeScript`- Vérifie les problèmes de connectivité réseau liés aux règles de groupe de sécurité associées à vos instances Amazon EC2.
+ `aws:executeScript`- Vérifie les vérifications de statut pour les instances Amazon EC2.
+ `aws:executeScript`- Génère un lien vers un ensemble de logs de votre environnement Elastic Beanstalk.
+ `aws:executeScript`- Télécharge le bundle de logs vers. Support
+ `aws:executeScript`- Produit un rapport contenant les mesures à prendre pour vous aider à résoudre les problèmes susceptibles d'affecter l'état de votre environnement Elastic Beanstalk.
# Elastic Load Balancing
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Elastic Load Balancing. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSConfigRemediation-DropInvalidHeadersForALB`](automation-aws-drop-alb-headers.md)
+ [`AWS-EnableCLBAccessLogs`](enable-clb-access-logs.md)
+ [`AWS-EnableCLBConnectionDraining`](AWS-EnableCLBConnectionDraining.md)
+ [`AWSConfigRemediation-EnableCLBCrossZoneLoadBalancing`](automation-aws-enable-clb-crosszone.md)
+ [`AWSConfigRemediation-EnableELBDeletionProtection`](automation-aws-enable-elb-protection.md)
+ [`AWSConfigRemediation-EnableLoggingForALBAndCLB`](automation-aws-enable-logging-alb-clb.md)
+ [`AWSSupport-TroubleshootCLBConnectivity`](automation-aws-troubleshootclbconnectivity.md)
+ [`AWSConfigRemediation-EnableNLBCrossZoneLoadBalancing`](automation-aws-enable-nlb-crosszone.md)
+ [`AWS-UpdateALBDesyncMitigationMode`](AWS-UpdateALBDesyncMitigationMode.md)
+ [`AWS-UpdateCLBDesyncMitigationMode`](AWS-UpdateCLBDesyncMitigationMode.md)
+ [`AWSSupport-TroubleshootELBHealthChecks`](automation-aws-troubleshootelbhealthchecks.md)
# `AWSConfigRemediation-DropInvalidHeadersForALB`
**Description**
Le `AWSConfigRemediation-DropInvalidHeadersForALB` runbook permet à l'équilibreur de charge d'application que vous spécifiez de supprimer les en-têtes HTTP dont les en-têtes ne sont pas valides.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DropInvalidHeadersForALB)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ LoadBalancerArn
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) de l'équilibreur de charge dont vous souhaitez supprimer les en-têtes non valides.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `elasticloadbalancing:DescribeLoadBalancerAttributes`
+ `elasticloadbalancing:ModifyLoadBalancerAttributes`
**Étapes de document**
+ `aws:executeAwsApi`- Active le paramètre de suppression des en-têtes non valides pour l'équilibreur de charge que vous spécifiez dans le `LoadBalancerArn` paramètre.
+ `aws:executeScript`- Vérifie que le paramètre Supprimer les en-têtes non valides a été activé sur l'équilibreur de charge que vous spécifiez dans le paramètre. `LoadBalancerArn`
# `AWS-EnableCLBAccessLogs`
**Description**
Le `AWS-EnableCLBAccessLogs` runbook active les journaux d'accès pour un Classic Load Balancer.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableCLBAccessLogs)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ EmitInterval
Type : Integer
Valeurs valides : 5 \$1 60
Par défaut : 60
Description : (Facultatif) Intervalle de publication des journaux d'accès en minutes.
+ LoadBalancerNames
Type : Chaîne
Description : (Obligatoire) Liste séparée par des virgules des équilibreurs de charge classiques pour lesquels vous souhaitez activer les journaux d'accès.
+ S3 BucketName
Type : Chaîne
Description : (Obligatoire) Nom du compartiment Amazon Simple Storage Service (Amazon S3) dans lequel les journaux d'accès sont stockés.
+ S3 BucketPrefix
Type : Chaîne
Description : (Facultatif) La hiérarchie logique que vous avez créée pour votre compartiment Amazon S3, par exemple`my-bucket-prefix/prod`. Si le préfixe n'est pas fourni, le journal est placé à la racine du compartiment.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `elasticloadbalancing:ModifyLoadBalancerAttributes`
**Étapes de document**
+ `aws:executeAwsApi`- Active les journaux d'accès pour les équilibreurs de charge classiques que vous spécifiez dans le `LoadBalancerNames` paramètre.
**Sorties**
Activez CLBAccess les journaux. SuccessesLoadBalancers - Liste des noms des équilibreurs de charge pour lesquels les journaux d'accès ont été activés avec succès.
Activez CLBAccess les journaux. FailedLoadBalancers - MapList des noms des équilibreurs de charge pour lesquels l'activation des journaux d'accès a échoué et de la raison de l'échec.
# `AWS-EnableCLBConnectionDraining`
**Description**
Le `AWS-EnableCLBConnectionDraining` runbook permet de drainer la connexion sur un Classic Load Balancer (CLB) jusqu'à la valeur de délai spécifiée. Le drainage des connexions permet au CLB de traiter les demandes en cours adressées aux instances dont l'enregistrement est en cours ou qui ne fonctionnent pas correctement, le délai spécifié étant le temps pendant lequel les connexions restent actives avant de signaler que l'instance est désenregistrée. Pour plus d'informations sur la vidange de connexion CLBs, voir [Configurer la vidange de connexion pour votre Classic Load](url-elb-cg;config-conn-drain.html) Balancer dans *le Guide de l'utilisateur* des Classic Load Balancers.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableCLBConnectionDraining)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ LoadBalancerName
Type : Chaîne
Description : (Obligatoire) Nom de l'équilibreur de charge sur lequel vous souhaitez activer l'épuisement des connexions.
+ ConnectionTimeout
Type : Integer
Valeurs valides : 1-3600
Valeur par défaut : 300
Description : (Obligatoire) La valeur du délai d'expiration de connexion pour l'équilibreur de charge. La valeur du délai d'attente peut être définie entre 1 et 3 600 secondes.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `elasticloadbalancing:DescribeLoadBalancerAttributes`
+ `elasticloadbalancing:ModifyLoadBalancerAttributes`
**Étapes de document**
+ ModifyLoadBalancerConnectionDraining (aws :executeAwsApi) : Active le drainage de la connexion et définit la valeur de délai d'expiration spécifiée pour l'équilibreur de charge que vous spécifiez.
+ VerifyLoadBalancerConnectionDrainingEnabled(aws : assertAwsResource Propriété) : Vérifie que le drainage des connexions est activé pour l'équilibreur de charge.
+ VerifyLoadBalancerConnectionDrainingTimeout(aws : assertAwsResource Propriété) : Vérifie que la valeur du délai d'expiration de connexion pour l'équilibreur de charge correspond à la valeur que vous avez spécifiée.
# `AWSConfigRemediation-EnableCLBCrossZoneLoadBalancing`
**Description**
Le `AWSConfigRemediation-EnableCLBCrossZoneLoadBalancing` runbook permet l'équilibrage de charge entre zones pour le Classic Load Balancer (CLB) que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableCLBCrossZoneLoadBalancing)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ LoadBalancerName
Type : Chaîne
Description : (Obligatoire) Nom du CLB sur lequel vous souhaitez activer l'équilibrage de charge entre zones.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `elb:DescribeLoadBalancerAttributes`
+ `elb:ModifyLoadBalancerAttributes`
**Étapes de document**
+ `aws:executeAwsApi`- Active l'équilibrage de charge entre zones pour le CLB que vous spécifiez dans le `LoadBalancerName` paramètre.
+ `aws:assertAwsResourceProperty`- Vérifie que l'équilibrage de charge entre zones a été activé sur le CLB.
# `AWSConfigRemediation-EnableELBDeletionProtection`
**Description**
Le `AWSConfigRemediation-EnableELBDeletionProtection` runbook active la protection contre la suppression pour l'équilibreur de charge élastique (ELB) que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableELBDeletionProtection)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ LoadBalancerArn
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) de l'ELB sur lequel vous souhaitez activer la protection contre la suppression.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `elasticloadbalancing:DescribeLoadBalancerAttributes`
+ `elasticloadbalancing:DescribeLoadBalancers`
+ `elasticloadbalancing:ModifyLoadBalancerAttributes`
**Étapes de document**
+ `aws:executeScript`- Active la protection contre la suppression sur l'ELB que vous spécifiez dans le `LoadBalancerArn` paramètre.
# `AWSConfigRemediation-EnableLoggingForALBAndCLB`
**Description**
Le `AWSConfigRemediation-EnableLoggingForALBAndCLB` runbook active la journalisation pour l' AWS Application Load Balancer ou un Classic Load Balancer (CLB) spécifié.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableLoggingForALBAndCLB)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ LoadBalancerId
Type : Chaîne
Description : (Obligatoire) Le nom du Classic Load Balancer ou l'ARN de l'Application Load Balancer.
+ S3 BucketName
Type : Chaîne
Description : (Obligatoire) Le nom du compartiment Amazon S3.
+ S3 BucketPrefix
Type : Chaîne
Description : (Facultatif) Hiérarchie logique que vous avez créée pour votre bucket Amazon Simple Storage Service (Amazon S3), par exemple. `my-bucket-prefix/prod` Si le préfixe n'est pas fourni, le journal est placé à la racine du compartiment.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `elasticloadbalancing:DescribeLoadBalancerAttributes`
+ `elasticloadbalancing:ModifyLoadBalancerAttributes`
**Étapes de document**
+ `aws:executeScript`- Active et vérifie la journalisation pour le Classic Load Balancer ou l'Application Load Balancer.
# `AWSSupport-TroubleshootCLBConnectivity`
**Description**
Le `AWSSupport-TroubleshootCLBConnectivity` runbook vous aide à résoudre les problèmes de connectivité entre un Classic Load Balancer (CLB) et des instances Amazon Elastic Compute Cloud (Amazon EC2). Les problèmes de connectivité entre un client et le CLB sont également examinés. Ce manuel passe également en revue les bilans de santé du CLB, vérifie que les meilleures pratiques sont suivies et crée un tableau de bord de dépannage pour vous. Vous pouvez éventuellement télécharger le résultat d'automatisation dans un compartiment Amazon Simple Storage Service (Amazon S3). Toutefois, ce runbook ne prend pas en charge le téléchargement de résultats vers des compartiments S3 accessibles au public. Nous vous recommandons de créer un compartiment S3 temporaire pour cette automatisation.
**Important**
L'utilisation de ce runbook peut entraîner des frais pour le tableau de bord créé. Pour plus d'informations, consultez [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/)
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootCLBConnectivity)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InvestigationType
Type : Chaîne
Valeurs valides : meilleures pratiques \$1 Problèmes de connectivité \$1 Tableau de bord de résolution des problèmes
Description : (Obligatoire) Les opérations que vous souhaitez que le runbook effectue.
+ LoadBalancerName
Type : Chaîne
Description : (Obligatoire) Le nom du CLB.
+ Emplacement S3
Type : Chaîne
Description : (Facultatif) Nom du compartiment S3 auquel vous souhaitez envoyer les résultats de l'automatisation. Les buckets accessibles au public ne sont pas pris en charge. Si votre compartiment S3 utilise le chiffrement côté serveur, l'utilisateur ou le rôle exécutant cette automatisation doit disposer d'`kms:GenerateDataKey`autorisations pour la AWS KMS clé.
+ S3 LocationPrefix
Type : Chaîne
Description : (Facultatif) Le préfixe de clé Amazon S3 (sous-dossier) vers lequel vous souhaitez télécharger la sortie d'automatisation. Le format de sortie est stocké au format suivant : amzn-s3-demo-bucket/*S3LocationPrefix*/\$1\$1\$1\$1 \$1 \$1\$1automation :*InvestigationType*\$1\$1 .txt. *EXECUTION\$1ID*
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:DescribeInstances`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeVpcAttribute`
+ `ec2:DescribeVpcs`
+ `ec2:DescribeSubnets`
+ `elasticloadbalancing:DescribeLoadBalancers`
+ `elasticloadbalancing:DescribeLoadBalancerPolicies`
+ `elasticloadbalancing:DescribeInstanceHealth`
+ `elasticloadbalancing:DescribeLoadBalancerAttributes`
+ `iam:ListRoles`
+ `cloudwatch:PutDashboard`
+ `ssm:GetAutomationExecution`
+ `ssm:StartAutomationExecution`
+ `ssm:DescribeAutomationExecutions`
+ `ssm:DescribeAutomationStepExecutions`
+ `ssm:DescribeInstanceInformation`
+ `ssm:DescribeInstanceProperties`
+ `ssm:GetDocument`
+ `ssm:ListCommands`
+ `ssm:ListCommandInvocations`
+ `ssm:ListDocuments`
+ `ssm:SendCommand`
+ `s3:GetBucketAcl`
+ `s3:GetBucketPolicyStatus`
+ `s3:GetPublicAccessBlock`
+ `s3:PutObject`
**Étapes de document**
+ `aws:executeScript`- Vérifie que le CLB que vous spécifiez dans le `LoadBalancerName` paramètre existe.
+ `aws:branch`- Branches basées sur la valeur spécifiée pour le `InvestigationType` paramètre.
+ `aws:executeScript`- Vérifie la connectivité du CLB.
+ `aws:executeScript`- Vérifie que la configuration CLB est conforme aux meilleures pratiques d'Elastic Load Balancing.
+ `aws:executeScript`- Crée un CloudWatch tableau de bord Amazon pour votre CLB.
+ `aws:executeScript`- Crée un fichier texte contenant les résultats de l'automatisation et le télécharge dans le compartiment Amazon S3 que vous spécifiez dans le `S3Location` paramètre.
**Sorties**
RunBestPractices.Résumé
RunConnectivityChecks.Résumé
CreateTroubleshootingDashboard.Sortie
UploadOutputToSortie S3.
# `AWSConfigRemediation-EnableNLBCrossZoneLoadBalancing`
**Description**
Le `AWSConfigRemediation-EnableNLBCrossZoneLoadBalancing` runbook permet l'équilibrage de charge entre zones pour l'équilibreur de charge réseau (NLB) que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableNLBCrossZoneLoadBalancing)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ LoadBalancerArn
Type : Chaîne
Description : (Obligatoire) Nom de ressource Amazon (ARN) du NLB sur lequel vous souhaitez activer l'équilibrage de charge entre zones.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `elasticloadbalancing:DescribeLoadBalancerAttributes`
+ `elasticloadbalancing:ModifyLoadBalancerAttributes`
**Étapes de document**
+ `aws:executeAwsApi`- Active l'équilibrage de charge entre zones pour le NLB que vous spécifiez dans le `LoadBalancerArn` paramètre.
+ `aws:executeScript`- Vérifie que l'équilibrage de charge entre zones a été activé sur le NLB.
# `AWS-UpdateALBDesyncMitigationMode`
**Description**
Le `AWS-UpdateALBDesyncMitigationMode` runbook mettra à jour le mode d'atténuation de la désynchronisation sur un Application Load Balancer (ALB) selon le mode d'atténuation spécifié. Le mode d'atténuation de la désynchronisation détermine la manière dont l'équilibreur de charge gère les demandes susceptibles de présenter un risque de sécurité pour votre application.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-UpdateALBDesyncMitigationMode)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ LoadBalancerArn
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) de l'ALB dont vous souhaitez modifier le mode d'atténuation de la désynchronisation.
+ DesyncMitigationMode
Type : Chaîne
Valeurs valides : moniteur \$1 défensif \$1 le plus strict
Description : (Obligatoire) Mode d'atténuation que vous souhaitez que l'ALB utilise. Pour plus d'informations sur les modes d'atténuation de la désynchronisation, voir [Mode d'atténuation de la désynchronisation dans le Guide de l'utilisateur des](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#desync-mitigation-mode) *équilibreurs de charge d'*application.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `elasticloadbalancing:DescribeLoadBalancers`
+ `elasticloadbalancing:DescribeLoadBalancerAttributes`
+ `elasticloadbalancing:ModifyLoadBalancerAttributes`
**Étapes de document**
+ VerifyLoadBalancerType (aws : assertAwsResource Property) - Vérifie que la valeur spécifiée pour le paramètre `LoadBalancerArn` d'entrée est celle d'un équilibreur de charge d'application avant de passer à l'étape suivante.
+ ModifyLoadBalancerDesyncMode (aws :executeAwsApi) - Met à jour l'ALB pour utiliser le spécifié`DesyncMitigationMode`.
+ VerifyLoadBalancerDesyncMitigationMode (AWS:ExecuteScript) - Vérifie que le mode d'atténuation de la désynchronisation a été mis à jour pour l'ALB cible.
**Sorties**
VerifyLoadBalancerDesyncMitigationMode. ModificationResult - Charge utile du message du script vérifiant la modification de votre ALB.
# `AWS-UpdateCLBDesyncMitigationMode`
**Description**
Le `AWS-UpdateCLBDesyncMitigationMode` runbook mettra à jour le mode d'atténuation de la désynchronisation sur un Classic Load Balancer (CLB) vers le mode d'atténuation spécifié. Le mode d'atténuation de la désynchronisation détermine la manière dont l'équilibreur de charge gère les demandes susceptibles de présenter un risque de sécurité pour votre application.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-UpdateCLBDesyncMitigationMode)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ LoadBalancerName
Type : Chaîne
Description : (Obligatoire) Nom du CLB dont vous souhaitez modifier le mode d'atténuation de la désynchronisation.
+ DesyncMitigationMode
Type : Chaîne
Valeurs valides : moniteur \$1 défensif \$1 le plus strict
Description : (Obligatoire) Mode d'atténuation que vous souhaitez que le CLB utilise. Pour plus d'informations sur les modes d'atténuation de la désynchronisation, voir [Mode d'atténuation de la désynchronisation dans le Guide de l'utilisateur des](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#desync-mitigation-mode) *équilibreurs de charge d'*application.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `elasticloadbalancing:DescribeLoadBalancerAttributes`
+ `elasticloadbalancing:ModifyLoadBalancerAttributes`
**Étapes de document**
+ ModifyLoadBalancerDesyncMode (aws :executeAwsApi) - Met à jour le CLB pour utiliser le paramètre spécifié`DesyncMitigationMode`.
+ VerifyLoadBalancerDesyncMitigationMode (AWS:ExecuteScript) - Vérifie que le mode d'atténuation de la désynchronisation a été mis à jour pour le CLB cible.
**Sorties**
VerifyLoadBalancerDesyncMitigationMode. ModificationResult - Charge utile du message du script vérifiant la modification de votre CLB.
# `AWSSupport-TroubleshootELBHealthChecks`
**Description**
Le **AWSSupport-TroubleshootELBHealthChecks**runbook permet de résoudre les problèmes liés au AWS bilan de santé d'Elastic Load Balancing (Elastic Load Balancing) en analysant les métriques Amazon CloudWatch (CloudWatch) associées, en vérifiant la connectivité réseau et en exécutant des commandes de diagnostic sur ses instances cibles.
Ce runbook traite des cas d'utilisation suivants :
+ Il existe des instances défectueuses dans les instances cibles d'un équilibreur de charge ou d'un groupe cible.
+ Bien qu'il n'y ait aucune instance défectueuse, CloudWatch les métriques indiquent des points de données pour `UnHealthyHostCounts`
**Important**
Considérations importantes :
L'automatisation se concentre sur le dépannage des cibles de type d'instance.
Le nombre maximum d'instances autorisées pour le dépannage est de 50.
Les instances cibles doivent être gérées par Systems Manager pour permettre l'exécution de commandes de diagnostic au niveau de l'instance.
Le `S3BucketName` paramètre est facultatif, mais certains résultats de diagnostic sont chargés directement dans le compartiment Amazon S3 spécifié et ne sont pas affichés dans la sortie d'automatisation.
IPv6 le dépannage de la connectivité réseau n'est pas pris en charge.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootELBHealthChecks)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
/
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `elasticloadbalancing:DescribeLoadBalancers`
+ `elasticloadbalancing:DescribeTargetGroups`
+ `elasticloadbalancing:DescribeTargetHealth`
+ `elasticloadbalancing:DescribeInstanceHealth`
+ `ec2:DescribeInstances`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `cloudwatch:GetMetricStatistics`
+ `ssm:SendCommand`
+ `ssm:GetCommandInvocation`
+ `ssm:DescribeInstanceInformation`
+ `s3:GetBucketLocation`
+ `s3:GetBucketAcl`
+ `s3:PutObject`
Exemple de politique :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:DescribeInstanceHealth",
"ec2:DescribeInstances",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"cloudwatch:GetMetricStatistics",
"ssm:SendCommand",
"ssm:GetCommandInvocation",
"ssm:DescribeInstanceInformation",
"s3:GetBucketLocation",
"s3:GetBucketAcl",
"s3:PutObject"
],
"Resource": "*"
}
]
}
```
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootELBHealthChecks/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootELBHealthChecks/description)à Systems Manager sous Documents.
1. Sélectionnez **Execute automation** (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
+ Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à SSM Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, SSM Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Type : `AWS::IAM::Role::Arn`
+ **LoadBalancerOrTargetGroupName (Obligatoire) :**
+ Description : (Obligatoire) Le nom d'un Classic Load Balancer ou le nom du groupe cible associé à un Application Load Balancer ou un Network Load Balancer.
+ Type : `String`
+ Modèle autorisé : `^[a-zA-Z0-9-]+$`
+ **ExecutionMode (Obligatoire) :**
+ Description : (Obligatoire) Contrôle le mode d'exécution automatique. `Complete`exécute toutes les étapes, y compris RunCommands, sur les instances Amazon EC2. `SkipRunCommands`exécute toutes les étapes sauf l'exécution de commandes sur les instances.
+ Type : `String`
+ Valeurs autorisées : `[Complete, SkipRunCommands]`
+ **S3 BucketName (facultatif) :**
+ Description : (Facultatif) Le nom du compartiment Amazon S3 de votre compte dans lequel vous souhaitez télécharger les journaux de dépannage.
+ Type : `String`
+ Valeur par défaut : `""`
1. Sélectionnez **Exécuter**.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **getBucketPublicÉtat** :
Vérifie si le compartiment Amazon S3 cible accorde potentiellement un accès public en lecture ou en écriture à ses objets.
+ **getLoadBalancerDétails** :
Identifie le type d'équilibreur de charge et renvoie un objet de détails de l'équilibreur de charge unifié.
+ **checkLoadBalancerType** :
Vérifie si l'équilibreur de charge existe.
+ **Obtenir des cibles** :
Sur la base des différents types d'équilibreurs de charge, les requêtes décrivent comment APIs renvoyer une carte des détails sur les cibles saines et non saines.
+ **checkCloudWatchMétriques** :
Vérifie les CloudWatch métriques `HealthyHostCounts` `UnHealthyHostCounts` et génère les CloudWatch liens.
+ **checkUnhealthyReasons**:
Vérifie l'absence de mauvaises raisons et filtre les cibles.
+ **Vérifiez la connectivité** :
Vérifie la connectivité entre l'équilibreur de charge et ses instances.
+ **Commandes d'exécution** :
Exécute des commandes de résolution des problèmes sur les instances et télécharge le résultat si le nom du bucket est fourni.
+ **Générer un rapport** :
Génère le rapport final en fonction du résultat des étapes précédentes et télécharge le rapport dans le compartiment Amazon S3 si cela est spécifié.
1. Une fois terminé, consultez la section **Sorties** pour connaître les résultats détaillés de l'exécution.
**Commandes de diagnostic**
Le runbook exécute les commandes de diagnostic suivantes sur les instances :
+ **Linux Shell :** top, free, ss, curl, iptables, tcpdump
+ **Windows PowerShell :** Obtenir-CimInstance, Obtenir-, Obtenir-NetFirewallProfile, Invoke-NetFirewallRule, netstatWebRequest, netsh, pktmon
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootELBHealthChecks/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Support des flux de travail automatisés](https://aws.amazon.com/premiumsupport/technology/saw/)
# Amazon EMR
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon EMR. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSSupport-AnalyzeEMRLogs`](automation-awssupport-analyzeemrlogs.md)
+ [`AWSSupport-DiagnoseEMRLogsWithAthena`](awssupport-diagnose-emr-logs-with-athena.md)
# `AWSSupport-AnalyzeEMRLogs`
**Description**
Ce runbook permet d'identifier les erreurs lors de l'exécution d'une tâche sur un cluster Amazon EMR. Le runbook analyse une liste de journaux définis sur le système de fichiers et recherche une liste de mots clés prédéfinis. Ces entrées de journal sont utilisées pour créer des CloudWatch événements Amazon Events afin que vous puissiez prendre les mesures nécessaires en fonction de ces événements. Le runbook publie éventuellement des entrées de journal dans le groupe de CloudWatch journaux Amazon Logs de votre choix. Ce runbook recherche actuellement les erreurs et modèles suivants dans les fichiers journaux :
+ container\$1out\$1of\$1memory — Le conteneur YARN n'a plus de mémoire, la tâche en cours d'exécution peut échouer.
+ yarn\$1nodemanager\$1health : le nœud CORE ou TASK manque d'espace disque et ne pourra pas exécuter de tâches.
+ node\$1state\$1change : le nœud CORE ou TASK n'est pas accessible par le nœud MASTER.
+ step\$1failure : une étape EMR a échoué.
+ no\$1core\$1nodes\$1running : aucun nœud CORE n'est actuellement en cours d'exécution, le cluster est défectueux.
+ hdfs\$1missing\$1blocks : Des blocs HDFS sont manquants, ce qui pourrait entraîner une perte de données.
+ hdfs\$1high\$1util : L'utilisation de HDFS est élevée, ce qui peut affecter les tâches et l'état du cluster.
+ instance\$1controller\$1restart : le processus Instance-Controller a redémarré. Ce processus est essentiel pour la santé du cluster.
+ instance\$1controller\$1restart\$1legacy : le processus Instance-Controller a redémarré. Ce processus est essentiel pour la santé du cluster.
+ high\$1load : charge moyenne élevée détectée, susceptible d'affecter les rapports sur l'état des nœuds ou d'entraîner des délais ou des ralentissements.
+ yarn\$1node\$1blacklisted : Le nœud CORE ou TASK a été mis sur liste noire par YARN pour l'empêcher d'exécuter des tâches.
+ yarn\$1node\$1lost : Le nœud CORE ou TASK a été marqué comme PERDU par YARN, problèmes de connectivité possibles.
Les instances associées à celles `ClusterID` que vous spécifiez doivent être gérées par AWS Systems Manager. Vous pouvez exécuter cette automatisation une seule fois, planifier l'automatisation pour qu'elle s'exécute à un intervalle de temps spécifique ou supprimer une planification créée précédemment par une automatisation. Ce runbook prend en charge les versions 5.20 à 6.30 d'Amazon EMR.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-AnalyzeEMRLogs)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ ClusterID
Type : Chaîne
Description : (Obligatoire) L'ID du cluster dont vous souhaitez analyser les logs des nœuds.
+ Opération
Type : Chaîne
Valeurs valides : Exécuter une fois \$1 Planifier \$1 Supprimer le calendrier
Description : (Obligatoire) Opération à effectuer sur le cluster.
+ IntervalTime
Type : Chaîne
Valeurs valides : 5 minutes \$1 10 minutes \$1 15 minutes
Description : (Facultatif) Durée entre deux exécutions de l'automatisation. Ce paramètre n'est applicable que si vous `Schedule` le `Operation` spécifiez.
+ LogToCloudWatchLogs
Type : Chaîne
Valeurs valides : oui \$1 non
Description : (Facultatif) Si vous spécifiez `yes` la valeur de ce paramètre, l'automatisation crée un groupe de CloudWatch journaux avec le nom spécifié dans le `CloudWatchLogGroup` paramètre pour stocker toutes les entrées de journal correspondantes.
+ CloudWatchLogGroup
Type : Chaîne
Description : (Facultatif) Nom du groupe de CloudWatch journaux dans lequel vous souhaitez stocker les entrées de journal correspondantes. Ce paramètre n'est applicable que si vous `yes` le `LogToCloudWatchLogs` spécifiez.
+ CreateLogInsightsDashboard
Type : Chaîne
Valeurs valides : oui \$1 non
Description : (Facultatif) Si vous le spécifiez`yes`, le tableau de CloudWatch bord est créé s'il n'existe pas déjà. Ce paramètre n'est applicable que si vous `yes` le `LogToCloudWatchLogs` spécifiez.
+ CreateMetricFilters
Type : Chaîne
Valeurs valides : oui \$1 non
Description : (Facultatif) Spécifiez `yes` si vous souhaitez créer des filtres métriques pour le groupe de CloudWatch journaux Logs. Ce paramètre n'est applicable que si vous `yes` le `LogToCloudWatchLogs` spécifiez.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetDocument`
+ `ssm:ListDocuments`
+ `ssm:DescribeAutomationExecutions`
+ `ssm:DescribeAutomationStepExecutions`
+ `ssm:GetAutomationExecution`
+ `ssm:DescribeInstanceInformation`
+ `ssm:ListCommandInvocations`
+ `ssm:ListCommands`
+ `ssm:SendCommand`
+ `iam:CreateRole`
+ `iam:DeleteRole`
+ `iam:GetRolePolicy`
+ `iam:PutRolePolicy`
+ `iam:DeleteRolePolicy`
+ `iam:passrole`
+ `cloudformation:DescribeStacks`
+ `cloudformation:DeleteStack`
+ `cloudformation:CreateStack`
+ `events:DeleteRule`
+ `events:RemoveTargets`
+ `events:PutTargets`
+ `events:PutRule`
+ `events:DescribeRule`
+ `logs:DescribeLogGroups`
+ `logs:CreateLogGroup`
+ `logs:PutMetricFilter`
+ `cloudwatch:PutDashboard`
+ `elasticmapreduce:ListInstances`
+ `elasticmapreduce:DescribeCluster`
**Étapes de document**
+ `aws:executeAwsApi`- Recueille des informations sur le cluster Amazon EMR spécifié dans `ClusterID` le paramètre.
+ `aws:branch`- Branches basées sur les entrées.
+ Si l'opération proposée est `Run Once` ou `Schedule` :
+ `aws:assertAwsResourceProperty`- Vérifie que le cluster est disponible.
+ `aws:executeAwsApi`- Regroupe toutes IDs les instances exécutées dans le cluster.
+ `aws:assertAwsResourceProperty`- Vérifie que l'agent SSM est en cours d'exécution sur toutes les instances du cluster.
+ `aws:branch`- Branches selon que vous avez spécifié d'exécuter l'automatisation une fois ou selon un calendrier.
+ Si l'opération proposée est `Run Once` :
+ `aws:branch`- Branches basées sur la valeur spécifiée dans le `LogToCloudWatchLogs` paramètre.
+ Si `LogToCloudWatchLogs` la valeur est `yes` :
+ `aws:executeScript`- Vérifie si un groupe de CloudWatch journaux avec le nom spécifié en paramètre existe `CloudWatchLogGroup` déjà. Dans le cas contraire, le groupe est créé avec le nom spécifié.
+ `aws:branch`- Branches basées sur la valeur spécifiée dans le `CreateMetricFilters` paramètre.
+ Si `CreateMetricFilters` la valeur est `yes` :
+ `aws:executeAwsApi`- 12 étapes sont exécutées pour chaque filtre métrique
+ `aws:branch`- Branches basées sur la valeur spécifiée dans le `CreateLogInsightsDashboard` paramètre.
+ Si `CreateLogInsightsDashboard` la valeur est `yes` :
+ `aws:executeAwsApi`- Crée un CloudWatch tableau de bord portant le même nom que celui indiqué dans le `CloudWatchLogGroup` paramètre, s'il n'existe pas déjà.
+ Si `CreateLogInsightsDashboard` la valeur est `no` :
+ `aws:runCommand`- Exécute un script shell pour rechercher des modèles de journalisation sur chaque instance du cluster.
+ Si `CreateMetricFilters` la valeur est `no` :
+ `aws:branch`- Branches basées sur la valeur spécifiée dans le `CreateLogInsightsDashboard` paramètre.
+ Si `CreateLogInsightsDashboard` la valeur est `yes` :
+ `aws:executeAwsApi`- Crée un CloudWatch tableau de bord portant le même nom que celui indiqué dans le `CloudWatchLogGroup` paramètre, s'il n'existe pas déjà.
+ Si `CreateLogInsightsDashboard` la valeur est `no` :
+ `aws:runCommand`- Exécute un script shell pour rechercher des modèles de journalisation sur chaque instance du cluster.
+ Si `LogToCloudWatchLogs` la valeur est `no` :
+ `aws:executeAwsApi`- Exécute un script shell pour rechercher des modèles de journalisation sur chaque instance du cluster.
+ Si l'opération proposée est `Schedule` :
+ `aws:createStack`- Crée un EventBridge événement Amazon qui cible ce runbook.
+ Si l'opération proposée est `Remove Schedule` :
+ `aws:executeAwsApi`- Vérifie qu'un planning existe pour le cluster.
+ `aws:deleteStack`- Supprime le planning.
**Sorties**
GetClusterInformation.ClusterName
GetClusterInformation.ClusterState
ListingClusterInstances.Instance IDs
CreatingScheduleCloudFormationStack.StackStatus
RemovingScheduleByDeletingScheduleCloudFormationStack.StackStatus
CheckIfLogGroupExists.sortie
FindLogPatternOnEMRNode.CommandId
# `AWSSupport-DiagnoseEMRLogsWithAthena`
**Description**
Le `AWSSupport-DiagnoseEMRLogsWithAthena` runbook permet de diagnostiquer les journaux Amazon EMR à l'aide d'Amazon Athena en intégration avec Data Catalog. AWS Glue Amazon Athena est utilisé pour interroger les fichiers journaux Amazon EMR pour les conteneurs, les journaux des nœuds, ou les deux, avec des paramètres facultatifs pour des plages de dates spécifiques ou des recherches basées sur des mots clés.
Le runbook peut récupérer automatiquement l'emplacement du journal Amazon EMR pour un cluster existant, ou vous pouvez spécifier l'emplacement du journal Amazon S3. Pour analyser les journaux, le runbook :
+ Crée une AWS Glue base de données et exécute des requêtes DDL (Amazon Athena Data Definition Language) sur l'emplacement des journaux Amazon EMR Amazon S3 afin de créer des tables pour les journaux de cluster et une liste des problèmes connus.
+ Exécute des requêtes DML (Data Manipulation Language) pour rechercher des modèles de problèmes connus dans les journaux Amazon EMR. Les requêtes renvoient une liste des problèmes détectés, leur nombre d'occurrences et le nombre de mots clés correspondants par chemin de fichier Amazon S3.
+ Les résultats sont chargés dans un compartiment Amazon S3 que vous spécifiez sous le préfixe`saw_diagnose_EMR_known_issues`.
+ Le runbook renvoie les résultats des requêtes Amazon Athena, en mettant en évidence les conclusions, les recommandations et les références aux articles du Amazon Knowledge Center (KC) issus d'un sous-ensemble prédéfini.
+ En cas d'achèvement ou d'échec, la AWS Glue base de données et les fichiers relatifs aux problèmes connus chargés dans le compartiment Amazon S3 sont supprimés.
**Fonctionnement**
Analyser `AWSSupport-DiagnoseEMRLogsWithAthena` les journaux Amazon EMR à l'aide d'Amazon Athena afin de détecter les erreurs et de mettre en évidence les résultats, les recommandations et les articles pertinents du centre de connaissances.
Le runbook exécute les étapes suivantes :
+ Obtenez l'emplacement du journal du cluster Amazon EMR à l'aide de l'ID du cluster ou saisissez l'emplacement Amazon S3 pour récupérer l'emplacement et la taille du journal.
+ Fournissez une estimation des coûts d'Athéna en fonction de la taille de l'emplacement du journal.
+ Obtenez l'approbation nécessaire pour continuer en demandant l'approbation des responsables IAM désignés avant d'exécuter des requêtes Athena et de passer aux étapes suivantes.
+ Chargez les problèmes connus dans le compartiment Amazon S3 spécifié, puis créez une AWS Glue base de données et des tables.
+ Exécutez des requêtes Athena sur les données des journaux Amazon EMR. Les requêtes peuvent effectuer une recherche par plage de dates, par mots clés, selon les deux critères, ou être exécutées sans filtres en fonction des entrées fournies.
+ Analysez les résultats pour mettre en évidence les conclusions, les recommandations et les articles pertinents du KC.
+ Liens de sortie pour les résultats des requêtes Amazon Athena DML.
+ Nettoyez l'environnement en supprimant la base de données créée, les tables et les problèmes connus téléchargés.
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
/
Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook :
+ Athéna : GetQueryExecution
+ Athéna : StartQueryExecution
+ Athéna : GetPreparedStatement
+ Athéna : CreatePreparedStatement
+ colle : GetDatabase
+ colle : CreateDatabase
+ colle : DeleteDatabase
+ colle : CreateTable
+ colle : GetTable
+ colle : DeleteTable
+ ElasticMapReduce : DescribeCluster
+ s3 : ListBucket
+ s3 : GetBucketVersioning
+ s3 : ListBucketVersions
+ s3 : GetBucketPublicAccessBlock
+ s3 : GetBucketPolicyStatus
+ s3 : GetObject
+ s3 : GetBucketLocation
+ tarification : GetProducts
+ tarification : GetAttributeValues
+ tarification : DescribeServices
+ tarification : ListPriceLists
**Important**
Pour restreindre l'accès aux seules ressources nécessaires à cette automatisation, associez la politique suivante au rôle IAM qui fait confiance au service SSM. Remplacez la partition, la région et le compte par les valeurs appropriées pour la partition, la région et le numéro de compte sur lesquels le livre d'exécution est exécuté.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster",
"glue:GetDatabase",
"athena:GetQueryExecution",
"athena:StartQueryExecution",
"athena:GetPreparedStatement",
"athena:CreatePreparedStatement",
"s3:ListBucket",
"s3:GetBucketVersioning",
"s3:ListBucketVersions",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketPolicyStatus",
"s3:GetObject",
"s3:GetBucketLocation",
"pricing:GetProducts",
"pricing:GetAttributeValues",
"pricing:DescribeServices",
"pricing:ListPriceLists"
],
"Resource": "*"
},
{
"Sid": "RestrictPutObjects",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::*/*/results/*",
"arn:aws:s3:::*/*/saw_diagnose_emr_known_issues/*"
]
},
{
"Sid": "RestrictDeleteAccess",
"Effect": "Allow",
"Action": [
"s3:DeleteObject",
"s3:DeleteObjectVersion"
],
"Resource": [
"arn:aws:s3:::*/*/saw_diagnose_emr_known_issues/*"
]
},
{
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:CreateDatabase",
"glue:DeleteDatabase"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:database/saw_diagnose_emr_database_*",
"arn:aws:glue:us-east-1:111122223333:table/saw_diagnose_emr_database_*/*",
"arn:aws:glue:us-east-1:111122223333:userDefinedFunction/saw_diagnose_emr_database_*/*",
"arn:aws:glue:us-east-1:111122223333:catalog"
]
},
{
"Effect": "Allow",
"Action": [
"glue:CreateTable",
"glue:GetTable",
"glue:DeleteTable"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:table/saw_diagnose_emr_database_*/saw_diagnose_emr_known_issues",
"arn:aws:glue:us-east-1:111122223333:table/saw_diagnose_emr_database_*/saw_diagnose_emr_logs_table",
"arn:aws:glue:us-east-1:111122223333:table/saw_diagnose_emr_database_*/j_*",
"arn:aws:glue:us-east-1:111122223333:database/saw_diagnose_emr_database_*",
"arn:aws:glue:us-east-1:111122223333:catalog"
]
}
]
}
```
------
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Naviguez [AWSSupport-DiagnoseEMRLogsWithAthena](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-DiagnoseEMRLogsWithAthena/description)dans la AWS Systems Manager section Documents.
1. Sélectionnez Execute automation (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
Amazon Resource Name (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **ClusterID (obligatoire) :**
L'ID du cluster Amazon EMR.
+ **S3 LogLocation (facultatif) :**
L'emplacement du journal Amazon EMR d'Amazon S3. Entrez l'URL de type PATH où se trouve Amazon S3, par exemple :. `s3://amzn-s3-demo-bucket/myfolder/j-1K48XXXXXXHCB/` Fournissez ce paramètre si le cluster Amazon EMR a été résilié pendant plus de `30` jours.
+ **S3 BucketName (obligatoire) :**
Le nom du compartiment Amazon S3 pour télécharger une liste des problèmes connus et le résultat des requêtes Amazon Athena. Le compartiment doit avoir [activé le blocage de l'accès public](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) et se trouver dans la même AWS région et sur le même compte que le cluster Amazon EMR.
+ **Approbateurs (obligatoire) :**
La liste des principaux AWS authentifiés qui sont en mesure d'approuver ou de rejeter l'action. Vous pouvez spécifier des principes en utilisant l'un des formats suivants : nom d'utilisateur, ARN de rôle IAM, ARN de rôle IAM ou ARN de rôle IAM assume. Le nombre maximum d'approbateurs est de 10.
+ **FetchNodeLogsOnly (Facultatif) :**
Si ce paramètre est défini sur`true`, l'automatisation diagnostique les journaux des conteneurs d'applications Amazon EMR. La valeur par défaut est `false`.
+ **FetchContainersLogsOnly(Facultatif) :**
Si ce paramètre est défini sur`true`, l'automatisation diagnostique les journaux des conteneurs Amazon EMR. La valeur par défaut est `false`.
+ **EndSearchDate (Facultatif) :**
Date de fin des recherches dans les journaux. S'il est fourni, l'automatisation recherchera exclusivement les journaux générés jusqu'à la date spécifiée dans le format YYYY-MM-DD (par exemple :`2024-12-30`).
+ **DaysToCheck (Facultatif) :**
Lorsqu'il `EndSearchDate` est fourni, ce paramètre est nécessaire pour déterminer le nombre de jours nécessaires pour rechercher rétrospectivement les journaux à partir de la valeur spécifiée. `EndSearchDate` La valeur maximale est de `30` jours. La valeur par défaut est `1`.
+ **SearchKeywords (Facultatif) :**
Liste des mots clés à rechercher dans les journaux, séparés par des virgules. Les mots clés ne peuvent pas contenir de guillemets simples ou doubles.
![\[Input parameters form for AWS Systems Manager Automation with various fields and options.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-diagnose-emr-logs-with-athena_input_parameters.png)
1. Sélectionnez **Exécuter**.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **getLogLocation:**
Récupère l'emplacement du journal Amazon S3 en interrogeant l'ID de cluster Amazon EMR spécifié. Si l'automatisation n'est pas en mesure de demander l'emplacement du journal à partir de l'ID du cluster Amazon EMR, le runbook utilise le `S3LogLocation` paramètre d'entrée.
+ **branchOnValidJournal :**
Vérifie l'emplacement des journaux Amazon EMR. Si l'emplacement est valide, procédez à l'estimation des coûts potentiels d'Amazon Athena lors de l'exécution de requêtes sur les journaux Amazon EMR.
+ **estimateAthenaCosts:**
Détermine la taille des journaux Amazon EMR et fournit une estimation du coût d'exécution des scans Athena sur le jeu de données des journaux. Pour les régions non commerciales (non AWS partitionnées), cette étape fournit simplement la taille du journal sans estimer les coûts. Les coûts peuvent être calculés à l'aide de la documentation tarifaire d'Athena dans la région spécifiée.
+ **Approuver l'automatisation :**
Attend l'approbation des responsables IAM désignés pour passer aux prochaines étapes de l'automatisation. La notification d'approbation contient le coût estimé du scan Amazon Athena sur les journaux Amazon EMR, ainsi que des informations sur les ressources mises en service par l'automatisation.
+ **uploadKnownIssuesExecuteAthenaQueries:**
Télécharge les problèmes connus prédéfinis dans le compartiment Amazon S3 spécifié dans le `S3BucketName` paramètre. Crée une AWS Glue base de données et des tables. Exécute les requêtes Amazon Athena dans AWS Glue la base de données en fonction des paramètres d'entrée.
+ **getQueryExecutionÉtat :**
Attend que l'exécution de la requête Amazon Athena soit `SUCCEEDED` terminée. La requête Amazon Athena DML recherche les erreurs et les exceptions dans les journaux des clusters Amazon EMR.
+ **analyzeAthenaResults:**
Analyse les résultats d'Amazon Athena pour fournir des conclusions, des recommandations et des articles du Knowledge Center (KC) issus d'un ensemble prédéfini de mappages.
+ **getAnalyzeResultsRequête 1 ExecutionStatus :**
Attend que l'exécution de la requête soit terminée`SUCCEEDED`. La requête Amazon Athena DML analyse les résultats de la requête DML précédente. Cette requête d'analyse renverra des exceptions correspondantes avec des résolutions et des articles KC
+ **getAnalyzeResultsRequête 2 ExecutionStatus :**
Attend que l'exécution de la requête soit terminée`SUCCEEDED`. La requête Amazon Athena DML analyse les résultats de la requête DML précédente. Cette requête d'analyse renverra une liste des fichiers exceptions/errors détectés dans chaque chemin de journal Amazon S3.
+ **printAthenaQueriesUn message :**
Imprime des liens vers les résultats des requêtes Amazon Athena DML.
+ **Ressources de nettoyage :**
Nettoie les ressources en supprimant la AWS Glue base de données créée et en supprimant les fichiers de problèmes connus créés dans le bucket de logs Amazon EMR.
1. Une fois terminé, consultez la section Sorties pour obtenir les résultats détaillés de l'exécution :
**La sortie fournit trois liens vers les résultats de la requête Athena :**
+ Liste de toutes les erreurs et exceptions fréquemment survenues dans les journaux du cluster Amazon EMR, ainsi que les emplacements des journaux correspondants (préfixe Amazon S3).
+ Résumé des exceptions connues uniques figurant dans les journaux Amazon EMR, ainsi que des résolutions recommandées et des articles du KC pour vous aider à résoudre les problèmes.
+ Informations sur les endroits où des erreurs et des exceptions spécifiques apparaissent dans les chemins des journaux Amazon S3, afin de permettre un diagnostic plus approfondi.
![\[Output section showing query links for exception summaries and analysis in AWS logs.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-diagnose-emr-logs-with-athena_outputs.png)
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-DiagnoseEMRLogsWithAthena/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
AWS documentation de service
+ Reportez-vous à la section [Résolution des problèmes liés aux clusters Amazon EMR](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-troubleshoot.html) pour plus d'informations
# Amazon OpenSearch Service
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon OpenSearch Service. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSConfigRemediation-DeleteOpenSearchDomain`](automation-aws-delete-opensearch-domain.md)
+ [`AWSConfigRemediation-EnforceHTTPSOnOpenSearchDomain`](automation-aws-enforce-https-opensearch.md)
+ [`AWSConfigRemediation-UpdateOpenSearchDomainSecurityGroups`](automation-aws-update-opensearch-security-group.md)
+ [`AWSSupport-TroubleshootOpenSearchRedYellowCluster`](automation-troubleshoot-opensearch-red-yellow-cluster.md)
+ [`AWSSupport-TroubleshootOpenSearchHighCPU`](automation-troubleshoot-opensearch-high-cpu.md)
# `AWSConfigRemediation-DeleteOpenSearchDomain`
**Description**
Le `AWSConfigRemediation-DeleteOpenSearchDomain` runbook supprime le domaine Amazon OpenSearch Service donné à l'aide de l'[DeleteDomain](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/configuration-api.html#configuration-api-actions-deletedomain)API.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteOpenSearchDomain)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ DomainName
Type : Chaîne
Valeurs autorisées : (\$1 d \$112\$1/) ? [a-z] \$11\$1 [a-z0-9-] \$12,28\$1
Description : (Obligatoire) Le nom du domaine Amazon OpenSearch Service que vous souhaitez supprimer.
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `es:DeleteDomain`
+ `es:DescribeDomain`
**Étapes de document**
+ `aws:executeScript`- Accepte le nom de domaine Amazon OpenSearch Service comme entrée, le supprime et vérifie la suppression.
# `AWSConfigRemediation-EnforceHTTPSOnOpenSearchDomain`
**Description**
Le `AWSConfigRemediation-EnforceHTTPSOnOpenSearchDomain` runbook est activé `EnforceHTTPS` sur un domaine Amazon OpenSearch Service donné à l'aide de l'[UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/configuration-api.html#configuration-api-actions-updatedomainconfig)API.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnforceHTTPSOnOpenSearchDomain)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ DomainName
Type : Chaîne
Valeurs autorisées : (\$1 d \$112\$1/) ? [a-z] \$11\$1 [a-z0-9-] \$12,28\$1
Description : (Obligatoire) Le nom du domaine Amazon OpenSearch Service que vous souhaitez utiliser pour appliquer le protocole HTTPS.
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `es:DescribeDomain`
+ `es:UpdateDomainConfig`
**Étapes de document**
+ `aws:executeScript`- Active l'option de point de `EnforceHTTPS` terminaison sur le domaine Amazon OpenSearch Service que vous spécifiez dans le `DomainName` paramètre.
# `AWSConfigRemediation-UpdateOpenSearchDomainSecurityGroups`
**Description**
Le `AWSConfigRemediation-UpdateOpenSearchDomainSecurityGroups` runbook met à jour la configuration du groupe de sécurité sur un domaine Amazon OpenSearch Service donné à l'aide de l'[UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/configuration-api.html#configuration-api-actions-updatedomainconfig)API.
**Note**
AWS Les groupes de sécurité ne peuvent être appliqués qu'aux domaines Amazon OpenSearch Service configurés pour Amazon Virtual Private Cloud (VPC) Access, et non aux domaines Amazon OpenSearch Service configurés pour l'accès public.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-UpdateOpenSearchDomainSecurityGroups)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ DomainName
Type : Chaîne
Description : (Obligatoire) Le nom du domaine Amazon OpenSearch Service que vous souhaitez utiliser pour mettre à jour les groupes de sécurité.
+ SecurityGroupList
Type : StringList
Description : (Obligatoire) Le groupe de sécurité IDs que vous souhaitez attribuer au domaine Amazon OpenSearch Service.
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `es:DescribeDomain`
+ `es:UpdateDomainConfig`
**Étapes de document**
+ `aws:executeScript`- Met à jour la configuration du groupe de sécurité sur le domaine Amazon OpenSearch Service que vous spécifiez dans le `DomainName` paramètre.
# `AWSSupport-TroubleshootOpenSearchRedYellowCluster`
**Description**
`AWSSupport-TroubleshootOpenSearchRedYellowCluster`Le runbook d'automatisation est utilisé pour identifier la cause de l'état de santé du cluster [rouge](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/handling-errors.html#handling-errors-red-cluster-status) ou [jaune](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/handling-errors.html#handling-errors-yellow-cluster-status) et vous guider dans le retour du cluster au vert.
**Fonctionnement**
Le runbook vous `AWSSupport-TroubleshootOpenSearchRedYellowCluster` aide à résoudre la cause du cluster rouge ou jaune et fournit les étapes suivantes pour résoudre ce problème en analysant la configuration du cluster et l'utilisation des ressources.
Le runbook exécute les étapes suivantes :
+ Appelle l'[DescribeDomain](https://docs.aws.amazon.com//opensearch-service/latest/APIReference/API_DescribeDomain.html)API sur le domaine cible pour obtenir la configuration du cluster.
+ Vérifie si le domaine du OpenSearch service est basé sur Internet (public) ou [Amazon Virtual Private Cloud (VPC).](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/vpc.html)
+ Crée une fonction publique ou basée sur [Amazon VPC en AWS Lambda fonction](https://docs.aws.amazon.com//lambda/latest/dg/foundation-networking.html) de la configuration du cluster. Remarque : La fonction Lambda contient le code de dépannage qui exécute le OpenSearch service sur APIs le cluster afin de déterminer pourquoi le cluster est en rouge ou en jaune.
+ Supprime la fonction Lambda.
+ Affiche les vérifications effectuées et les prochaines étapes recommandées pour résoudre le problème du cluster rouge ou jaune.
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `cloudformation:CreateStack`
+ `cloudformation:DescribeStacks`
+ `cloudformation:DescribeStackEvents`
+ `cloudformation:DeleteStack`
+ `lambda:CreateFunction`
+ `lambda:DeleteFunction`
+ `lambda:InvokeFunction`
+ `lambda:GetFunction`
+ `es:DescribeDomain`
+ `es:DescribeDomainConfig`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcs`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:CreateNetworkInterface`
+ `ec2:DeleteNetworkInterface`
+ `ec2:DescribeInstances`
+ `ec2:AttachNetworkInterface`
+ `cloudwatch:GetMetricData`
+ `iam:PassRole`
Le `LambdaExecutionRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook :
+ `es:ESHttpGet`
+ `ec2:CreateNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DeleteNetworkInterface`
Vue d'ensemble de `LambdaExecutionRole` la politique :
Voici un exemple du rôle d'exécution (rôle Gestion des identités et des accès AWS (IAM) d'une fonction Lambda) qui accorde à la fonction l'autorisation d'accéder aux AWS services et aux ressources requis par ce runbook. Pour plus d’informations, consultez [Rôle d’exécution Lambda](https://docs.aws.amazon.com//lambda/latest/dg/lambda-intro-execution-role.html).
**Note**
Les `ec2:DescribeNetworkInterfaces``ec2:CreateNetworkInterface`, et ne `ec2:DeleteNetworkInterface` sont obligatoires que si votre cluster de OpenSearch services est [basé sur Amazon VPC](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/vpc.html) pour permettre à la fonction Lambda de créer et de gérer les interfaces réseau Amazon VPC. Pour plus d'informations, consultez [Connecter le réseau sortant aux ressources dans un rôle d'exécution Amazon VPC](https://docs.aws.amazon.com//lambda/latest/dg/configuration-vpc.html#vpc-permissions) et [Lambda](https://docs.aws.amazon.com//lambda/latest/dg/lambda-intro-execution-role.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "es:ESHttpGet",
"Resource": [
"arn:aws:es:us-east-1:111122223333:domain/domain-name/",
"arn:aws:es:us-east-1:111122223333:domain/domain-name/_cluster/health",
"arn:aws:es:us-east-1:111122223333:domain/domain-name/_cat/indices",
"arn:aws:es:us-east-1:111122223333:domain/domain-name/_cat/allocation",
"arn:aws:es:us-east-1:111122223333:domain/domain-name/_cluster/allocation/explain"
]
},
{
"Condition": {
"ArnLikeIfExists": {
"ec2:Vpc": "arn:aws:ec2:us-east-1:111122223333:vpc/vpc_id"
}
},
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:UnassignPrivateIpAddresses",
"ec2:AssignPrivateIpAddresses"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez au [AWSSupport-TroubleshootOpenSearchRedYellowCluster](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootOpenSearchRedYellowCluster/description)dans la AWS Systems Manager console.
1. Sélectionnez Execute automation (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
Amazon Resource Name (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **LambdaExecutionRole (Obligatoire) :**
L'ARN du rôle IAM que Lambda utilisera pour signer les demandes adressées à votre cluster OpenSearch Amazon Service.
+ **DomainName (Obligatoire) :**
Nom du domaine de OpenSearch service dont l'état de santé du cluster est rouge ou jaune.
+ **UtilizationThreshold (Facultatif) :**
Le pourcentage du seuil d'utilisation utilisé pour comparer les métriques CPUUtilization et les mesures de JVMMemory pression. La valeur par défaut est 80.
![\[Input parameters form for AWS Systems Manager Automation with IAM roles and domain settings.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-opensearch-red-yellow-cluster_input_paramters.png)
1. Si vous avez activé le [contrôle d'accès détaillé](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/fgac.html) sur un cluster de OpenSearch services, assurez-vous que l'ARN du `LambdaExecutionRole` rôle est mappé à un rôle disposant d'au moins une autorisation. `cluster_monitor`
![\[Cluster permissions section showing cluster_monitor permission granted.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-opensearch-red-yellow-cluster_permissions.png)
![\[Backend roles interface showing an AWSIAM role for Lambda execution and options to remove or add roles.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-opensearch-red-yellow-cluster_backend_roles.png)
1. Sélectionnez Exécuter.
1. L'automatisation démarre.
1. Le runbook d'automatisation exécute les étapes suivantes :
+ **GetClusterConfiguration:**
Récupère la configuration du cluster OpenSearch de services.
+ **Créez AWSLambda FunctionStack :**
Crée une fonction Lambda temporaire dans votre compte à l'aide de. CloudFormation La fonction Lambda est utilisée pour exécuter le OpenSearch service. APIs
+ **WaitForAWSLambdaFunctionStack:**
Attend que la CloudFormation pile soit terminée.
+ **GetClusterMetricsFromCloudWatch:**
Obtient les métriques relatives aux clusters Amazon CloudWatch ClusterStatus et JVMMemory Pressure OpenSearch Service et leur date de création. CPUUtilization
+ **RunOpenSearchAPIs:**
Utilise la fonction Lambda pour appeler le OpenSearch service APIs et analyser les données des métriques du cluster afin de diagnostiquer la cause de l'état rouge ou jaune du cluster.
+ **Supprimer AWSLambda FunctionStack :**
Supprime la fonction Lambda créée par cette automatisation dans votre compte.
1. Une fois terminé, consultez la section Sorties pour connaître les résultats détaillés de l'exécution.
+ **RootCause:**
Fournit une vue d'ensemble de la cause identifiée pour laquelle l'état de santé du cluster est passé en rouge ou en jaune.
+ **IssueDescription:**
Fournit des informations sur les raisons pour lesquelles le cluster est en rouge ou en jaune et explique les étapes possibles pour le ramener à l'état vert.
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootOpenSearchRedYellowCluster)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
AWS documentation de service
+ Reportez-vous à la section [Dépannage OpenSearch d'Amazon Service](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/handling-errors.html) pour plus d'informations
# `AWSSupport-TroubleshootOpenSearchHighCPU`
**Description**
Le `AWSSupport-TroubleshootOpenSearchHighCPU` runbook fournit une solution automatisée pour collecter des données de diagnostic à partir d'un domaine Amazon OpenSearch Service afin de résoudre les problèmes de [processeur élevés](https://repost.aws/knowledge-center/opensearch-troubleshoot-high-cpu).
**Fonctionnement**
Le `AWSSupport-TroubleshootOpenSearchHighCPU` runbook permet de résoudre les problèmes d'utilisation élevée du processeur dans le domaine Amazon OpenSearch Service.
Le runbook exécute les étapes suivantes :
+ Exécute l'[DescribeDomain](https://docs.aws.amazon.com//opensearch-service/latest/APIReference/API_DescribeDomain.html)API sur le domaine Amazon OpenSearch Service fourni pour obtenir les métadonnées du cluster.
+ Vérifie si le domaine Amazon OpenSearch Service est public ou basé sur Amazon VPC et, à l'aide de CloudFormation, crée une fonction publique ou basée sur [Amazon AWS Lambda VPC](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/vpc.html).
+ La fonction Lambda récupère les données de diagnostic depuis les domaines Amazon OpenSearch Service.
+ Utilise une machine à AWS Step Functions états pour orchestrer plusieurs exécutions de fonctions Lambda afin de recueillir des données plus complètes.
+ Stocke les données collectées dans un groupe de CloudWatch journaux Amazon pendant 24 heures par défaut.
+ Supprime les ressources créées, à l'exception du groupe de CloudWatch journaux.
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `cloudformation:CreateStack`
+ `cloudformation:CreateStack`
+ `cloudformation:DescribeStacks`
+ `cloudformation:DescribeStackEvents`
+ `cloudformation:DeleteStack`
+ `lambda:CreateFunction`
+ `lambda:DeleteFunction`
+ `lambda:InvokeFunction`
+ `lambda:GetFunction`
+ `lambda:TagResource`
+ `es:DescribeDomain`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcs`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:CreateNetworkInterface`
+ `ec2:DescribeInstances`
+ `ec2:AttachNetworkInterface`
+ `ec2:DeleteNetworkInterface`
+ `logs:CreateLogGroup`
+ `logs:PutRetentionPolicy`
+ `logs:TagResource`
+ `states:CreateStateMachine`
+ `states:DeleteStateMachine`
+ `states:StartExecution`
+ `states:TagResource`
+ `states:DescribeStateMachine`
+ `states:DescribeExecution`
+ `iam:PassRole`
+ `iam:CreateRole`
+ `iam:DeleteRole`
+ `iam:GetRole`
+ `iam:PutRolePolicy`
+ `iam:DeleteRolePolicy`
+ `ssm:DescribeAutomationExecutions`
+ `ssm:GetAutomationExecution`
**Note**
Les`iam:CreateRole`,`iam:DeleteRole`, `iam:GetRole` `iam:PutRolePolicy``iam:PutRolePolicy`, et ne `iam:DeleteRolePolicy` sont obligatoires que si vous n'utilisez pas de rôle IAM existant pour le paramètre **LambdaInvocationRoleForStepFunctions**
Le `LambdaExecutionRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook :
+ `es:ESHttpGet`
+ `ec2:CreateNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DeleteNetworkInterface`
+ `logs:CreateLogStream`
+ `logs:PutLogEvents`
Le rôle d'exécution Lambda accorde à la fonction l'autorisation d'accéder aux AWS services et aux ressources requis par ce runbook. Pour plus d’informations, consultez [Rôle d’exécution Lambda](https://docs.aws.amazon.com//lambda/latest/dg/lambda-intro-execution-role.html).
**Note**
Les `ec2:DescribeNetworkInterfaces``ec2:CreateNetworkInterface`, et ne `ec2:DeleteNetworkInterface` sont obligatoires que si votre cluster de OpenSearch services est [basé sur Amazon VPC](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/vpc.html) pour permettre à la fonction Lambda de créer et de gérer les interfaces réseau Amazon VPC. Pour plus d'informations, consultez [Connecter le réseau sortant aux ressources dans un rôle d'exécution Amazon VPC](https://docs.aws.amazon.com//lambda/latest/dg/configuration-vpc.html#vpc-permissions) et [Lambda](https://docs.aws.amazon.com//lambda/latest/dg/lambda-intro-execution-role.html).
Le `LambdaInvocationRoleForStepFunctions` paramètre autorise AWS Step Functions State Machine à appeler la fonction Lambda. Voici un exemple de politique IAM qui accorde à Step Functions l'autorisation d'appeler la fonction Lambda qui extrait les données de diagnostic depuis OpenSearch le domaine Service. Pour plus d'informations, consultez la section [Création d'un rôle IAM de machine à états dans le](https://docs.aws.amazon.com/step-functions/latest/dg/procedure-create-iam-role.html) Guide AWS Step Functions du développeur.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": [
"arn:aws:lambda:us-east-1:111122223333:function:AWSSupport-HighCPU-*"
]
}
]
}
```
------
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez au [AWSSupport-TroubleshootOpenSearchHighCPU](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootOpenSearchHighCPU/description)dans la AWS Systems Manager console.
1. Sélectionnez Execute automation (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
Amazon Resource Name (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **DomainName (Obligatoire) :**
Le nom du domaine Amazon OpenSearch Service que vous souhaitez résoudre en cas de problèmes de processeur élevés.
+ **LambdaExecutionRoleForOpenSearch(Obligatoire) :**
L'ARN du rôle IAM à associer à la fonction Lambda. La fonction Lambda utilise les informations d'identification de ce rôle pour signer les demandes adressées au domaine Amazon OpenSearch Service. Si le contrôle d'accès détaillé est activé sur le domaine Amazon OpenSearch Service, vous devez associer ce rôle à un rôle principal de OpenSearch Service Dashboards avec une autorisation minimale de « cluster\$1monitor ».
+ **LambdaInvocationRoleForStepFunctions(Facultatif) :**
(Facultatif) L'ARN du rôle IAM à associer au flux de travail Step Functions. La machine d'état utilise les informations d'identification de ce rôle pour appeler la fonction Lambda qui extrait les données de diagnostic depuis le OpenSearch domaine de service. Si aucun rôle n'est spécifié, cette automatisation créera un rôle IAM pour Step Functions dans votre compte.
+ **DataRetentionDays (Facultatif) :**
Le nombre de jours pendant lesquels les données de diagnostic collectées à partir du domaine Amazon OpenSearch Service sont conservées. Par défaut, les données sont conservées pendant 24 heures (un jour). Vous pouvez choisir de conserver les données pendant une durée maximale de 30 jours.
+ **NumberOfDataSamples (Facultatif) :**
Le nombre d'échantillons de données à collecter à partir du domaine Amazon OpenSearch Service. Par défaut, 5 échantillons de données sont collectés. Vous pouvez collecter jusqu'à 10 échantillons et la fonction Lambda sera invoquée pour chaque collecte d'échantillons.
1. Si vous avez activé le [contrôle d'accès détaillé](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/fgac.html) sur un cluster de OpenSearch services, assurez-vous que l'ARN du `LambdaExecutionRole` rôle est mappé à un rôle disposant d'au moins une autorisation. `cluster_monitor`
![\[Cluster permissions section showing cluster_monitor permission granted.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-opensearch-high-cpu_cluster_permissions.png)
![\[Backend roles interface showing an AWSIAM role for Lambda execution and options to remove or add roles.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-opensearch-high-cpu_backend_roles.png)
1. Sélectionnez Exécuter.
1. L'automatisation démarre.
1. Le runbook d'automatisation exécute les étapes suivantes :
+ **Vérifiez la simultanéité :**
Garantit qu'il n'y a qu'une seule exécution de ce runbook ciblant le domaine Amazon OpenSearch Service spécifié. Si le runbook trouve une autre exécution ciblant le même nom de domaine, il renvoie une erreur et se termine.
+ **getDomainConfig:**
Obtient les détails de configuration pour le domaine OpenSearch de service cible.
+ **Ressources d'approvisionnement :**
Fournit les ressources nécessaires à la collecte de données à l'aide de CloudFormation.
+ **waitForStackCréation :**
Attend que la CloudFormation pile soit terminée.
+ **describeStackResources:**
Décrit la CloudFormation pile et obtient l'ARN de la machine à états.
+ **runStateMachine:**
Invoque la fonction Lambda du collecteur de données une ou plusieurs fois en exécutant une machine d'état Step Functions.
+ **describeErrorsFromStackEvents:**
Décrit les erreurs provenant de la CloudFormation pile pour détecter les erreurs.
+ **unstageOpenSearchHaut CPUAutomation :**
Supprime la `AWSSupport-TroubleshootOpenSearchHighCPU` CloudFormation pile.
+ **describeErrorsFromStackDeletion:**
Décrit les erreurs rencontrées lors de la suppression de la CloudFormation pile.
+ **État final :**
Renvoie le résultat final du `AWSSupport-TroubleshootOpenSearchHighCPU` runbook.
1. Une fois terminé, consultez la section Sorties pour connaître les résultats détaillés de l'exécution.
+ **État final. FinalOutput**:
Fournit le groupe de CloudWatch journaux dans lequel les données de diagnostic sont stockées.
![\[Output message indicating hot thread data collection completed with log group details.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-opensearch-high-cpu_outputs.png)
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootOpenSearchHighCPU)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
AWS documentation de service
+ Reportez-vous à la section [Dépannage OpenSearch d'Amazon Service](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/handling-errors.html) pour plus d'informations
# EventBridge
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon EventBridge. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-AddOpsItemDedupStringToEventBridgeRule`](automation-aws-add-dedup-string-ev.md)
+ [`AWS-DisableEventBridgeRule`](automation-aws-disable-ev-rule.md)
# `AWS-AddOpsItemDedupStringToEventBridgeRule`
**Description**
Le `AWS-AddOpsItemDedupStringToEventBridgeRule` runbook ajoute une chaîne de déduplication pour tout ce qui est AWS Systems Manager OpsItems associé à une règle Amazon EventBridge . Le runbook n'ajoute pas de chaîne de déduplication à la règle si une chaîne a déjà été appliquée. Pour en savoir plus sur les chaînes de déduplication et OpsItems consultez la section [Réduction des doublons OpsItems](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-creating-OpsItems.html#OpsCenter-working-deduplication) dans le *Guide de AWS Systems Manager l'utilisateur*.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-AddOpsItemDedupStringToEventBridgeRule)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ DedupString
Type : Chaîne
Description : (Obligatoire) Chaîne de déduplication que vous souhaitez ajouter à la règle.
+ RuleName
Type : Chaîne
Description : (Obligatoire) Nom de la règle à laquelle vous souhaitez ajouter la chaîne de déduplication.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `events:ListTargetsByRule`
+ `events:PutTargets`
**Étapes de document**
+ `aws:executeScript`- Ajoute une chaîne de déduplication à la EventBridge règle que vous spécifiez dans le `RuleName` paramètre.
# `AWS-DisableEventBridgeRule`
**Description**
*Le `AWS-DisableEventBridgeRule` runbook désactive la EventBridge règle Amazon que vous spécifiez. Pour en savoir plus sur les règles EventBridge , consultez les [règles Amazon EventBridge dans le guide de l'utilisateur](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html) Amazon. EventBridge *
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-DisableEventBridgeRule)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ EventBusName
Type : Chaîne
Par défaut : par défaut
Description : (Facultatif) Bus d'événements associé à la règle que vous souhaitez désactiver.
+ RuleName
Type : Chaîne
Description : (Obligatoire) Nom de la règle que vous souhaitez désactiver.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `events:DisableRule`
**Étapes de document**
+ `aws:executeAwsApi`- Désactive la EventBridge règle que vous spécifiez dans le `RuleName` paramètre.
# AWS Glue
AWS Systems Manager L'automatisation fournit des runbooks prédéfinis pour AWS Glue. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSSupport-TroubleshootGlueConnection`](automation-awssupport-troubleshootglueconnection.md)
# `AWSSupport-TroubleshootGlueConnection`
**Description**
Le **AWSSupport-TroubleshootGlueConnections**runbook permet de résoudre les problèmes de AWS Glue connexion. La cible de la connexion testée doit être atteinte via une connexion JDBC et peut être un cluster/instance Amazon Relational Database Service (Amazon RDS), un cluster Amazon Redshift ou toute autre cible accessible via JDBC. Dans les deux premiers cas, l'outil Reachability Analyzer est utilisé pour déterminer si la connectivité entre la source AWS Glue() et la cible (Amazon RDS ou Amazon Redshift) est accordée.
Si la cible de la connexion n'est pas Amazon RDS ni Amazon Redshift, la connectivité est tout de même testée en créant AWS Lambda une fonction dans le même sous-réseau que AWS Glue la connexion (un point de présence réseau) et en vérifiant si le nom de la cible est résoluble et s'il est accessible sur le port cible.
**Important**
Afin d'exécuter les contrôles de [Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html)[, des interfaces réseau élastiques](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) seront créées dans chacun des sous-réseaux de sources de données de la connexion. Assurez-vous de disposer de suffisamment d'espace libre IPs sur ces sous-réseaux et que la consommation d'une adresse IP n'aura pas d'impact sur votre charge de travail avant d'exécuter cette automatisation.
**Important**
Toutes les ressources créées par cette automatisation sont étiquetées afin de pouvoir être facilement trouvées. Les balises utilisées sont les suivantes :
`AWSSupport-TroubleshootGlueConnection` : true
`AutomationExecutionId`: *Amazon EC2 Systems Manager Execution Id*
**Fonctionnement**
Le runbook exécute les étapes suivantes :
+ Décrit la AWS Glue connexion permettant d'obtenir les informations source (sous-réseau et groupes de sécurité) pour les vérifications de connectivité.
+ Récupère les informations cibles (sous-réseau et groupes de sécurité) depuis la source de données référencée dans l'URL JDBC ou depuis les `DatasourceSubnets` paramètres `DatasourceSecurityGroups` et s'ils sont présents.
+ Si la source de données présente dans l'URL JDBC est une instance ou un cluster Amazon RDS ou un cluster Amazon Redshift, cette automatisation est créée en ENIs utilisant à la fois les informations source et cible recueillies lors des étapes précédentes et utilise Reachability Analyzer pour effectuer une vérification de connectivité entre elles.
+ Une fonction Lambda (point de présence réseau, dans le contexte de cette automatisation) est utilisée pour effectuer des vérifications de connectivité L4 et de résolution de noms.
+ La même fonction Lambda est utilisée pour effectuer les vérifications par rapport au point de terminaison Amazon S3.
+ Le simulateur de politique est utilisé pour déterminer si le rôle IAM utilisé dans la connexion dispose des autorisations nécessaires.
+ L'automatisation vérifie si le groupe de sécurité utilisé par la connexion possède la configuration attendue.
+ Un rapport est généré contenant les causes possibles de l'échec de l'opération de test de connexion, and/or ainsi que les tests réussis qui ont été effectués.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootGlueConnection)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
/
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `cloudformation:CreateStack`
+ `cloudformation:DeleteStack`
+ `ec2:CreateNetworkInsightsPath`
+ `ec2:CreateNetworkInterface`
+ `ec2:CreateTags`
+ `ec2:DeleteNetworkInsightsAnalysis`
+ `ec2:DeleteNetworkInsightsPath`
+ `ec2:DeleteNetworkInterface`
+ `ec2:StartNetworkInsightsAnalysis`
+ `iam:AttachRolePolicy`
+ `iam:CreateRole`
+ `iam:DeleteRole`
+ `iam:DeleteRolePolicy`
+ `iam:DetachRolePolicy`
+ `iam:PutRolePolicy`
+ `iam:TagRole`
+ `lambda:CreateFunction`
+ `lambda:DeleteFunction`
+ `lambda:TagResource`
+ `logs:CreateLogGroup`
+ `logs:DeleteLogGroup`
+ `logs:PutRetentionPolicy`
+ `logs:TagResource`
+ `glue:GetConnection`
+ `glue:GetDataCatalogEncryptionSettings`
+ `cloudformation:DescribeStacks`
+ `cloudformation:DescribeStackEvents`
+ `ec2:DescribeDhcpOptions`
+ `ec2:DescribeNetworkInsightsPaths`
+ `ec2:DescribeNetworkInsightsAnalyses`
+ `ec2:DescribeSecurityGroupRules`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcs`
+ `ec2:DescribeVpcAttribute`
+ `iam:GetRole`
+ `iam:ListAttachedRolePolicies`
+ `iam:SimulatePrincipalPolicy`
+ `kms:DescribeKey`
+ `lambda:InvokeFunction`
+ `lambda:GetFunction`
+ `s3:GetEncryptionConfiguration`
+ `iam:PassRole`
**Important**
Outre les actions mentionnées ci-dessus, [Amazon `AutomationAssumeRole`](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonVPCReachabilityAnalyzerFullAccessPolicy.html) doit être [associé à une politique gérée](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) afin VPCReachability AnalyzerFullAccessPolicy que les tests de [Reachability Analyzer soient effectués](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) avec succès.
Voici un exemple de politique qui pourrait être accordée pour `AutomationAssumeRole` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "TaggedAWSResourcesPermissions",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"aws:ResourceTag/AWSSupport-TroubleshootGlueConnection": "true"
}
},
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:TagRole",
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:TagResource",
"logs:DeleteLogGroup",
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource",
"cloudformation:CreateStack",
"cloudformation:DeleteStack"
],
"Resource": "*"
},
{
"Sid": "TaggedEC2ResourcesPermissions",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/AWSSupport-TroubleshootGlueConnection": "true"
}
},
"Action": [
"ec2:DeleteNetworkInterface"
],
"Resource": "*"
},
{
"Sid": "PutRolePolicy",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"iam:ResourceTag/AWSSupport-TroubleshootGlueConnection": "true"
}
},
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "*"
},
{
"Sid": "InvokeFunction",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": "arn:*:lambda:*:*:function:point-of-presence-*"
},
{
"Sid": "UnTaggedActions",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInsightsPath",
"ec2:DeleteNetworkInsightsAnalysis",
"ec2:DeleteNetworkInsightsPath",
"ec2:CreateNetworkInterface",
"ec2:CreateTags",
"ec2:StartNetworkInsightsAnalysis",
"glue:GetConnection",
"glue:GetDataCatalogEncryptionSettings",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInsightsPaths",
"ec2:DescribeNetworkInsightsAnalyses",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpcAttribute",
"iam:GetRole",
"iam:ListAttachedRolePolicies",
"iam:SimulatePrincipalPolicy",
"kms:DescribeKey",
"lambda:GetFunction",
"s3:GetEncryptionConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:*:iam::*:role/point-of-presence-*",
"Condition": {
"StringLikeIfExists": {
"iam:PassedToService": "lambda.amazonaws.com"
}
}
}
]
}
```
------
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootGlueConnection/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootGlueConnection/description)à Systems Manager sous Documents.
1. Sélectionnez Execute automation (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
Amazon Resource Name (ARN) du rôle AWS Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **TestConnectionRole (Obligatoire)**
Le nom de ressource Amazon (ARN) du rôle IAM utilisé lors du test de connexion.
+ **ConnectionName (Obligatoire)**
AWS Glue nom de connexion au test ayant échoué que vous souhaitez résoudre.
+ **PersistReachabilityAnalyzerResults(Facultatif)**
L'indicateur indiquant si les résultats de l'exécution de Reachability Analyzer doivent être conservés ou non. Valeur par défaut : `false.`
+ **PointOfPresenceLogRetentionPeriod(Facultatif)**
Le nombre de jours pendant lesquels les journaux du point de présence Lambda seront conservés. Valeur par défaut : `7`.
+ **DatasourceSubnets (Facultatif)**
Si la source de données d'origine n'est pas disponible, utilisez ce paramètre pour indiquer les sous-réseaux qu'elle a utilisés afin que les tests de connectivité soient toujours effectués. **Doit** être utilisé avec`DatasourceSecurityGroups`. Exemple: `subnet-1,subnet-2`.
+ **DatasourceSecurityGroups (Facultatif)**
Si la source de données d'origine n'est pas disponible, utilisez ce paramètre pour indiquer les groupes de sécurité qu'elle a utilisés afin que les tests de connectivité soient toujours effectués. **Doit** être utilisé avec`DatasourceSubnets`. Exemple: `sg-1,sg-2`.
![\[Input parameters form for AWS Glue connection troubleshooting with various configuration options.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshootglueconnection_input_parameters.png)
1. Sélectionnez Exécuter.
1. L'automatisation démarre.
1. Le runbook d'automatisation exécute les étapes suivantes :
+ **ParseInputs:**
Cette étape valide la combinaison des entrées. Si `DatasourceSecurityGroups` les deux `DatasourceSubnets` sont fournis, ils sont valides et renvoyés tels quels. Si aucune n'est fournie, deux listes vides sont renvoyées. Si un seul d'entre eux est fourni, l'étape génère un`ValueException`.
+ **GetConnectionDetails:**
Cette étape renvoie les détails de la AWS Glue connexion fournie.
+ **ParseSecurityGroupList:**
Cette étape est utilisée pour concaténer le `SecurityGroupIdList` in a pour une utilisation `String` future dans cette automatisation.
+ **GetConnectionData:**
Détermine, en fonction de l'URL JDBC, le type de connexion entre : `RedShift``RdsInstance`, `RdsCluster` et. `Other` Renvoie en outre le domaine et le port utilisés dans la connexion JDBC, le VPC Amazon de la connexion et ses serveurs de noms de domaine.
+ **GetNetworkDetails:**
Obtient les informations du sous-réseau et du groupe de sécurité à partir de la cible Amazon RDS ou Amazon Redshift.
+ **Créez ENITemplate :**
Génère le AWS CloudFormation modèle utilisé pour créer les interfaces réseau utilisées pour tester la connectivité. Cela est nécessaire pour exécuter l'outil Reachability Analyzer.
+ **Créez ENIStack :**
Crée la CloudFormation pile à partir du modèle créé à l'étape précédente.
+ **GetStackDetails:**
Décrit la CloudFormation pile créée dans la pile précédente et récupère les `SourceNetworkInterface` `TargetNetworkInterfaces` informations.
+ **RunSourceToTargetCheck:**
Exécute des vérifications entre la source et la cible ENIs créées à l'étape précédente à l'aide de l'outil Reachability Analyzer.
+ **Supprimer ENIStack :**
Supprime la CloudFormation pile qui crée les interfaces réseau
+ **CreateNetworkPointOfPresence:**
CloudFormation crée la fonction Lambda utilisée comme point de présence du réseau.
+ **GetFunctionName:**
Exécute un appel d'API de CloudFormation description de la pile pour récupérer le nom de la fonction Lambda créée à l'étape précédente.
+ **RunEndpointChecks:**
Utilise le point de présence du réseau pour déterminer si le point de terminaison présent dans la connexion JDBC est résoluble et accessible sur le port déclaré.
+ **Vérifie la connectivité 3 :**
Vérifie la connectivité réseau depuis la AWS Glue connexion au service Amazon S3.
+ **DeletePointOfPresence:**
Supprime la CloudFormation pile qui crée le point de présence du réseau Lambda.
+ **IAMRoleAutorisations de test :**
Vérifie si le rôle IAM utilisé pour le test dispose des autorisations nécessaires pour l'exécuter.
+ **CheckConnectionSecurityGroupReferencingRule:**
Vérifie si le groupe de sécurité utilisé dans la AWS Glue connexion autorise tout le trafic entrant depuis lui-même. Il renverra une liste des groupes de sécurité sans cette règle, le cas échéant.
+ **GenerateReport:**
Génère un rapport contenant une liste des résultats (raisons possibles de l'échec du test de connexion) et des étapes suivantes (tentatives de résolution de l'échec du test de connexion).
1. Une fois terminé, consultez la section Sorties pour obtenir les résultats détaillés de l'exécution :
+ **Résultats de l'automatisation**
Dans cette section, vous trouverez des scénarios décrivant les causes possibles de l'échec de l'opération de test de connexion (résultats) et la manière de les corriger (prochaines étapes). Si l'automatisation ne trouve pas la cause de l'échec du test, cela sera également indiqué dans cette section.
+ **Tests réussis**
Dans cette section, vous trouverez des scénarios expliquant ce qui a été testé avec succès par cette automatisation. Les tests réussis sont utiles si l'automatisation n'est pas en mesure d'identifier la cause de l'échec de la connexion de test, car ils réduisent la portée de l'enquête en indiquant ce qui n'est pas à l'origine du problème.
+ **Erreurs d'automatisation**
Dans cette section, vous trouverez des scénarios décrivant les problèmes survenus lors de l'automatisation, qui peuvent avoir limité le nombre de tests que l'automatisation pouvait effectuer. La description du scénario indiquera quelle étape a échoué.
![\[Troubleshooting results for AWS Glue connection issues with DNS resolution and IAM role problems.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshootglueconnection_outputs.png)
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootGlueConnection/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
# Amazon FSx
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon FSx. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSSupport-ValidateFSxWindowsADConfig`](awssupport-validate-fsxwindows-adconfig.md)
# `AWSSupport-ValidateFSxWindowsADConfig`
**Description**
Le `AWSSupport-ValidateFSxWindowsADConfig` runbook est utilisé pour valider la configuration Active Directory (AD) autogérée d'un serveur de fichiers Amazon FSx pour Windows
**Fonctionnement**
Le runbook `AWSSupport-ValidateFSxWindowsADConfig` exécute le script de validation Amazon FSx sur l'instance Windows temporaire Amazon Elastic Compute Cloud (Amazon EC2) lancée par le runbook sur le sous-réseau Amazon. FSx Le script effectue plusieurs vérifications pour valider la connectivité réseau aux AD/DNS serveurs autogérés et les autorisations du compte de FSx service Amazon. Le runbook peut valider un serveur de fichiers Amazon FSx pour Windows défaillant ou mal configuré ou créer un nouveau serveur de fichiers Amazon FSx pour Windows avec AD autogéré.
Par défaut, le runbook crée l'instance Windows Amazon EC2, le groupe de sécurité AWS Systems Manager pour l'accès (SSM) Gestion des identités et des accès AWS , le rôle (IAM) et la politique en utilisant CloudFormation le sous-réseau Amazon FSx. Si vous souhaitez exécuter le script sur une instance Amazon EC2 existante, indiquez l'ID dans le paramètre. `InstanceId` En cas d'exécution réussie, il supprime les CloudFormation ressources. Toutefois, pour conserver les ressources, définissez le `RetainCloudFormationStack` paramètre sur`true`.
Le CloudFormation modèle crée un rôle IAM en votre nom avec les autorisations requises pour se connecter à l'instance Amazon EC2 afin d'exécuter le script de validation FSx Amazon. Pour spécifier un profil d'instance IAM existant pour l'instance temporaire, utilisez le `InstanceProfileName` paramètre. Le rôle IAM associé doit contenir les autorisations suivantes :
+ `ec2:DescribeSubnets`et `ec2:DescribeVpcs` les autorisations et la politique gérée par Amazon`AmazonSSMManagedInstanceCore`.
+ Autorisations permettant d'obtenir le nom d'utilisateur et le mot de passe du compte de FSx service Amazon auprès de Systems Manager en appelant l'`GetSecretValue`API.
+ Autorisations permettant de placer un objet dans le compartiment Amazon Simple Storage Service (Amazon S3) pour la sortie du script.
**Conditions préalables**
Le sous-réseau dans lequel l'instance Amazon EC2 temporaire est créée (ou l'instance existante fournie dans le paramètre) doit autoriser `InstanceId` l'accès aux points de terminaison AWS Secrets Manager,, et Amazon S3 afin d'exécuter AWS Systems Manager le script à l'aide de `AmazonFSxADValidation` la commande SSM Run.
**AWS Secrets Manager configuration**
Le script de validation se connecte au domaine Microsoft AD en récupérant le nom d'utilisateur et le mot de passe du compte de FSx service Amazon lors d'un appel d'exécution à Secrets Manager. Suivez les étapes décrites dans [Créer un AWS Secrets Manager secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html) pour créer un nouveau secret dans le Gestionnaire de Secrets. Assurez-vous que le nom d'utilisateur et le mot de passe sont enregistrés à l'aide d'une key/value paire au format`{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}"`. Reportez-vous à la section [Authentification et contrôle d'accès AWS Secrets Manager pour](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access.html) plus d'informations sur la sécurisation de l'accès aux secrets.
Pour plus d'informations sur l'outil, reportez-vous aux `README.md` fichiers `TROUBLESHOOTING.md` et du FSx ADValidation fichier [Amazon](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/samples/AmazonFSxADValidation.zip).
**Exécution du Runbook**
Exécutez le runbook avec les paramètres Amazon FSx ID ou AD. Voici le flux de travail du runbook :
+ Obtient les paramètres à partir de l' FSx identifiant Amazon ou utilise les paramètres AD d'entrée.
+ Crée l'instance Windows Amazon EC2 de validation temporaire sur le FSx sous-réseau Amazon, le groupe de sécurité pour l'accès SSM, le rôle IAM et la politique (conditionnelle) à l'aide de. CloudFormation Si le `InstanceId` paramètre est spécifié, il est utilisé.
+ Télécharge et exécute le script de validation sur l'instance Amazon EC2 cible dans le sous-réseau principal FSx Amazon.
+ Fournit le code de résultat de la validation AD dans la sortie d'automatisation. En outre, la sortie complète du script est chargée dans le compartiment Amazon S3.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ValidateFSxWindowsADConfig)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Windows
**Paramètres**
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `cloudformation:CreateStack`
+ `cloudformation:DeleteStack`
+ `cloudformation:DescribeStacks`
+ `cloudformation:DescribeStackResources`
+ `cloudformation:DescribeStackEvents`
+ `ec2:CreateTags`
+ `ec2:RunInstances`
+ `ec2:TerminateInstances`
+ `ec2:CreateLaunchTemplate`
+ `ec2:DeleteLaunchTemplate`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeImages`
+ `ec2:DescribeInstances`
+ `ec2:DescribeLaunchTemplates`
+ `ec2:DescribeLaunchTemplateVersions`
+ `ec2:CreateSecurityGroup`
+ `ec2:DeleteSecurityGroup`
+ `ec2:RevokeSecurityGroupEgress`
+ `ec2:AuthorizeSecurityGroupEgress`
+ `iam:CreateRole`
+ `iam:CreateInstanceProfile`
+ `iam:GetInstanceProfile`
+ `iam:getRolePolicy`
+ `iam:DeleteRole`
+ `iam:DeleteInstanceProfile`
+ `iam:AddRoleToInstanceProfile`
+ `iam:RemoveRoleFromInstanceProfile`
+ `iam:AttachRolePolicy`
+ `iam:DetachRolePolicy`
+ `iam:PutRolePolicy`
+ `iam:DeleteRolePolicy`
+ `iam:GetRole`
+ `iam:PassRole`
+ `ssm:SendCommand`
+ `ssm:StartAutomationExecution`
+ `ssm:DescribeInstanceInformation`
+ `ssm:DescribeAutomationExecutions`
+ `ssm:GetDocument`
+ `ssm:GetAutomationExecution`
+ `ssm:DescribeAutomationStepExecutions`
+ `ssm:ListCommandInvocations`
+ `ssm:GetParameters`
+ `ssm:ListCommands`
+ `ssm:GetCommandInvocation`
+ `fsx:DescribeFileSystems`
+ `ds:DescribeDirectories`
+ `s3:GetEncryptionConfiguration`
+ `s3:GetBucketPublicAccessBlock`
+ `s3:GetAccountPublicAccessBlock`
+ `s3:GetBucketPolicyStatus`
+ `s3:GetBucketAcl`
+ `s3:GetBucketLocation`
**Exemple de politique IAM pour le rôle Automation Assume**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribe",
"Effect": "Allow",
"Action": [
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLaunchTemplateVersions",
"ssm:DescribeInstanceInformation",
"ssm:DescribeAutomationExecutions",
"ssm:DescribeAutomationStepExecutions",
"fsx:DescribeFileSystems",
"ds:DescribeDirectories"
],
"Resource": "*"
},
{
"Sid": "CloudFormation",
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackResources",
"cloudformation:DescribeStackEvents",
"cloudformation:CreateStack",
"cloudformation:DeleteStack"
],
"Resource": "arn:*:cloudformation:*:*:stack/AWSSupport-ValidateFSxWindowsADConfig-*"
},
{
"Sid": "AllowCreateLaunchTemplate",
"Effect": "Allow",
"Action": [
"ec2:CreateLaunchTemplate",
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:launch-template/*"
]
},
{
"Sid": "AllowEC2RunInstances",
"Effect": "Allow",
"Action": [
"ec2:RunInstances",
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*::image/*",
"arn:aws:ec2:*::snapshot/*",
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:key-pair/*",
"arn:aws:ec2:*:*:launch-template/*"
]
},
{
"Sid": "AllowEC2RunInstancesWithTags",
"Effect": "Allow",
"Action": [
"ec2:RunInstances",
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*"
]
},
{
"Sid": "EC2SecurityGroup",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:CreateTags"
],
"Resource": [
"arn:*:ec2:*:*:security-group/*",
"arn:*:ec2:*:*:vpc/*"
]
},
{
"Sid": "EC2Remove",
"Effect": "Allow",
"Action": [
"ec2:TerminateInstances",
"ec2:DeleteLaunchTemplate",
"ec2:DeleteSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:launch-template/*",
"arn:*:ec2:*:*:security-group/*"
]
},
{
"Sid": "IAMInstanceProfile",
"Effect": "Allow",
"Action": [
"iam:CreateInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:GetInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile"
],
"Resource": "arn:*:iam::*:instance-profile/*"
},
{
"Sid": "IAM",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:DeleteRole",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:getRolePolicy",
"iam:PutRolePolicy",
"iam:DeleteRolePolicy",
"iam:GetRole",
"iam:TagRole"
],
"Resource": "arn:*:iam::*:role/*"
},
{
"Sid": "SSM",
"Effect": "Allow",
"Action": [
"ssm:StartAutomationExecution",
"ssm:GetDocument",
"ssm:GetAutomationExecution",
"ssm:ListCommandInvocations",
"ssm:GetParameters",
"ssm:ListCommands",
"ssm:GetCommandInvocation"
],
"Resource": "*"
},
{
"Sid": "SSMSendCommand",
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": "arn:aws:ssm:*:*:document/AWS-RunPowerShellScript"
},
{
"Sid": "SSMSendCommandOnlyFsxInstance",
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/CreatedBy": [
"AWSSupport-ValidateFSxWindowsADConfig"
]
}
}
},
{
"Sid": "AllowPassRoleToEC2",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:*:iam::*:role/AWSSupport-ValidateFSxWindowsADConfig-*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ec2.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetEncryptionConfiguration",
"s3:GetBucketPublicAccessBlock",
"s3:GetAccountPublicAccessBlock",
"s3:GetBucketPolicyStatus",
"s3:GetBucketAcl",
"s3:GetBucketLocation"
],
"Resource": "*"
}
]
}
```
------
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ValidateFSxWindowsADConfig/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ValidateFSxWindowsADConfig/description)à Systems Manager sous Documents.
1. Sélectionnez **Execute automation** (Exécuter l'automatisation).
1. Pour valider l'AD autogéré auprès d'un Amazon existant défaillant ou mal configuré FSx, entrez les paramètres suivants :
+ **AutomationAssumeRole (Facultatif) :**
Amazon Resource Name (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **FSxIdentifiant (conditionnel) :**
L'ID du serveur de fichiers Amazon FSx pour Windows. Cela est nécessaire pour valider la version existante d'Amazon FSx défaillante ou mal configurée.
+ **SecretArn (Obligatoire) :**
L'ARN de votre secret Secrets Manager contenant le nom d'utilisateur et le mot de passe du compte de FSx service Amazon. Assurez-vous que le nom d'utilisateur et le mot de passe sont enregistrés à l'aide d'une key/value paire au format`{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}`. La CloudFormation pile crée l'instance de validation avec les autorisations nécessaires pour `GetSecretValue` effectuer des opérations sur cet ARN.
+ **FSxSecurityGroupId (Obligatoire) :**
L'ID du groupe de sécurité pour le serveur de fichiers Amazon FSx pour Windows.
+ **BucketName (Obligatoire) :**
Le compartiment Amazon S3 dans lequel télécharger les résultats de validation. Assurez-vous que le compartiment est configuré avec le chiffrement côté serveur (SSE) et que la politique du compartiment n'accorde pas d' read/write autorisations inutiles aux parties qui n'ont pas besoin d'accéder aux journaux. Assurez-vous également que l'instance Windows Amazon EC2 dispose de l'accès nécessaire au compartiment Amazon S3.
![\[Input parameters form for AWS Systems Manager managed Windows Server EC2 instance validation.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-validate-fsxwindows-adconfig_input_parameters1.png)
1. Pour valider la configuration AD autogérée pour une nouvelle FSx création Amazon, entrez les paramètres suivants :
+ **AutomationAssumeRole (Facultatif) :**
Amazon Resource Name (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **SecretArn (Obligatoire) :**
L'ARN de votre secret Secrets Manager contenant le nom d'utilisateur et le mot de passe du compte de FSx service Amazon. Assurez-vous que le nom d'utilisateur et le mot de passe sont enregistrés à l'aide d'une key/value paire au format`{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}`. La CloudFormation pile crée l'instance de validation avec les autorisations nécessaires pour `GetSecretValue` effectuer des opérations sur cet ARN.
+ **FSxSecurityGroupId (Obligatoire) :**
L'ID du groupe de sécurité pour le serveur de fichiers Amazon FSx pour Windows.
+ **BucketName (Obligatoire) :**
Le compartiment Amazon S3 dans lequel télécharger les résultats de validation. Assurez-vous que le compartiment est configuré avec le chiffrement côté serveur (SSE) et que la politique du compartiment n'accorde pas d' read/write autorisations inutiles aux parties qui n'ont pas besoin d'accéder aux journaux. Assurez-vous également que l'instance Windows Amazon EC2 dispose de l'accès nécessaire au compartiment Amazon S3.
+ **FSxPreferredSubnetId(Conditionnel) :**
Le sous-réseau préféré du serveur de fichiers Amazon FSx pour Windows.
+ **DomainName (Conditionnel) :**
Le nom de domaine complet de votre domaine Microsoft AD autogéré.
+ **DnsIpAddresses (Conditionnel) :**
Liste d'un maximum de deux adresses IP de serveur DNS ou de contrôleur de domaine dans votre domaine AD autogéré. Pour un maximum de deux IPs, saisissez-les en les séparant par une virgule.
+ **FSxAdminsGroup (Conditionnel) :**
Le groupe d'administrateurs de systèmes de fichiers délégués d'Amazon FSx pour Windows File Server. Par défaut, il s'agit d'`Domain Admins`.
+ **FSxOrganizationalUnit(Conditionnel) :**
Unité organisationnelle (UO) au sein de laquelle vous souhaitez rejoindre votre système de fichiers. Indiquez le nom du chemin unique de l'unité d'organisation. Exemple: `OU=org,DC=example,DC=com`.
![\[Form fields for configuring Amazon FSx for Windows File Server and related Services AWS.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-validate-fsxwindows-adconfig_input_parameters2.png)
1. Sélectionnez **Exécuter**.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **CheckBucketPublicStatus(AWS : ExecuteScript) :**
Vérifie si le compartiment Amazon S3 cible accorde potentiellement un accès public en lecture et en and/or écriture à ses objets.
+ **BranchOnInputParameters(aws:branche) :**
Branches sur les paramètres d'entrée fournis, tels que l' FSx identifiant Amazon ou FSx les paramètres Amazon.
+ **AssertFileSystemTypeIsWindows(lois : assertAwsResource Propriété) :**
Si un FSx identifiant Amazon est fourni, cela confirme que le type de système de fichiers est Amazon FSx pour Windows File Server.
+ **GetValidationInputs(AWS : ExecuteScript) :**
Renvoie la configuration Microsoft AD autogérée requise par le CloudFormation modèle pour créer l'instance Amazon EC2.
+ **BranchOnInstanceId (aws:branche) :**
Branches sur l'entrée fournie`InstanceId`. S'il `InstanceId` est fourni, le script de validation s'exécute sur l'instance Amazon EC2 cible à partir de l'automatisation. `step:RunValidationScript`
+ **Créer EC2 InstanceStack (AWS : CreateStack) :**
Crée l'instance Amazon EC2 dans le sous-réseau préféré en utilisant l' CloudFormation endroit où l'`AmazonFSxADValidation`outil sera exécuté
+ **DescribeStackResources(comme :executeAwsApi) :**
Décrit la CloudFormation pile permettant d'obtenir l'ID d'instance Amazon EC2 temporaire.
+ **WaitForEC2InstanceToBeManaged(comme : waitForAwsResourceProperty) :**
Attend que l'instance Amazon EC2 soit gérée par Systems Manager pour exécuter le script de validation à l'aide de la commande SSM Run.
+ **GetAmazonFSxADValidationPièce jointe (comme :executeAwsApi) :**
Obtient l'URL de l'`AmazonFSxADValidation`outil à partir des pièces jointes du runbook.
+ **RunValidationScript(AWS : Exécuter la commande) :**
Exécute l'`AmazonFSxADValidation`outil sur l'instance temporaire Amazon EC2 et stocke le résultat dans le compartiment Amazon S3 spécifié dans le `BucketName` paramètre.
+ **DescribeErrorsFromStackEvents(AWS : ExecuteScript) :**
Décrit les événements de la CloudFormation pile si les runbooks ne parviennent pas à créer la pile.
+ **BranchOnRetainCloudFormationStack(aws:branche) :**
Branches sur les `InstanceId` paramètres `RetainCloudFormationStack` et pour déterminer si la CloudFormation pile doit être supprimée.
+ **DeleteCloudFormationStack(AWS : Supprimer la pile) :**
Supprime la CloudFormation pile.
1. Une fois terminé, consultez la section Sorties pour connaître les résultats de l'exécution :
![\[Output showing instance details, CloudFormation stack ID, and validation script results with errors.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-validate-fsxwindows-adconfig_outputs.png)
Le runbook téléchargera les résultats de l'exécution du script de validation dans le compartiment Amazon S3.
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ValidateFSxWindowsADConfig/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
AWS documentation de service
+ [Qu'est-ce qu'Amazon FSx pour Windows File Server ?](https://docs.aws.amazon.com//fsx/latest/WindowsGuide/what-is.html)
+ [Validation de la configuration AD autogérée pour le serveur de fichiers Amazon FSx pour Windows](https://docs.aws.amazon.com//fsx/latest/WindowsGuide/validate-ad-config.html)
# GuardDuty
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon GuardDuty. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSConfigRemediation-CreateGuardDutyDetector`](automation-aws-enable-guard-detect.md)
# `AWSConfigRemediation-CreateGuardDutyDetector`
**Description**
Le `AWSConfigRemediation-CreateGuardDutyDetector` runbook crée un détecteur Amazon GuardDuty (GuardDuty) dans l' Région AWS endroit où vous exécutez l'automatisation.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-CreateGuardDutyDetector)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `guardduty:CreateDetector`
+ `guardduty:GetDetector`
**Étapes de document**
+ `aws:executeAwsApi`- Crée un GuardDuty détecteur.
+ `aws:assertAwsResourceProperty`- Vérifie que `Status` le détecteur est`ENABLED`.
# IAM
AWS Systems Manager L'automatisation fournit des runbooks prédéfinis pour Gestion des identités et des accès AWS. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSSupport-TroubleshootIAMAccessDeniedEvents`](awssupport-troubleshootiamaccessdeniedevents.md)
+ [`AWS-AttachIAMToInstance`](automation-aws-attachiamtoinstance.md)
+ [`AWS-DeleteIAMInlinePolicy`](delete-iam-inline-policy.md)
+ [`AWSConfigRemediation-DeleteIAMRole`](automation-aws-delete-iam-role.md)
+ [`AWSConfigRemediation-DeleteIAMUser`](automation-aws-delete-iam-user.md)
+ [`AWSConfigRemediation-DeleteUnusedIAMGroup`](automation-aws-delete-iam-group.md)
+ [`AWSConfigRemediation-DeleteUnusedIAMPolicy`](automation-aws-delete-iam-policy.md)
+ [`AWSConfigRemediation-DetachIAMPolicy`](automation-aws-detach-iam-policy.md)
+ [`AWSConfigRemediation-EnableAccountAccessAnalyzer`](automation-aws-enable-account-access-analyzer.md)
+ [`AWSSupport-GrantPermissionsToIAMUser`](automation-awssupport-grantpermissionstoiamuser.md)
+ [`AWSConfigRemediation-RemoveUserPolicies`](automation-aws-remove-user-policies.md)
+ [`AWSConfigRemediation-ReplaceIAMInlinePolicy`](automation-aws-replace-iam-policy.md)
+ [`AWSConfigRemediation-RevokeUnusedIAMUserCredentials`](automation-aws-revoke-iam-user.md)
+ [`AWSConfigRemediation-SetIAMPasswordPolicy`](automation-aws-set-iam-policy.md)
+ [`AWSSupport-ContainIAMPrincipal`](awssupport-contain-iam-principal.md)
+ [`AWSSupport-TroubleshootSAMLIssues`](awssupport-troubleshootsamlissues.md)
# `AWSSupport-TroubleshootIAMAccessDeniedEvents`
**Description**
**Le** manuel AWSSupport-TroubleshootIAMAccessDeniedEvents d'automatisation permet de résoudre les problèmes de refus d'accès Gestion des identités et des accès AWS (IAM). Le runbook interroge CloudTrail les récents événements de refus d'accès liés à l'entité IAM et à la source d'événement de AWS service spécifiées. Il analyse les événements dans un intervalle de temps configurable allant jusqu'à 24 heures et traite jusqu'à 10 événements par exécution. Chaque événement de refus d'accès identifié est examiné pour aider à comprendre le contexte du refus et des actions tentées. L'automatisation analyse à la fois les politiques IAM basées sur l'identité et les ressources. Pour les politiques basées sur l'identité, il examine les politiques intégrées et gérées associées à l'entité IAM. Pour les politiques basées sur les ressources, il évalue les politiques de plusieurs services, AWS notamment Amazon Simple Storage Service (Amazon S3), AWS Key Management Service (AWS KMS), AWS Lambda Amazon Simple Notification Service (Amazon SNS), Amazon Elastic Container Registry (Amazon ECR), Amazon API Gateway, Amazon Elastic CodeArtifact File System (Amazon EFS), Amazon Simple Queue Service (Amazon Simple Queue Service), Amazon Service, Signer, et AWS Cloud9. OpenSearch AWS AWS Serverless Application Repository AWS Secrets Manager
Le runbook utilise les fonctionnalités de simulation des politiques IAM pour évaluer ces politiques par rapport aux actions refusées détectées lors des événements. CloudTrail Le runbook tire parti des capacités de simulation des politiques d'IAM à la fois [SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html)pour les utilisateurs IAM et [SimulateCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html)pour les rôles IAM afin d'évaluer ces politiques par rapport aux actions refusées détectées lors des événements. CloudTrail L'automatisation produit un rapport qui permet d'identifier les actions spécifiques qui ont été refusées, de faire la différence entre les refus implicites et explicites, de répertorier les politiques responsables des refus d'accès et de fournir des explications pour chaque refus. Le rapport suggère également des solutions potentielles, telles que l'identification des déclarations d'autorisation manquantes ou des déclarations de refus contradictoires
**Fonctionnement**
Le runbook exécute les étapes suivantes :
+ Décrit et valide `RequesterARN` (rôle ou utilisateur) pour obtenir des informations telles que le type d'entité IAM et l'identifiant IAM.
+ Récupère les CloudTrail événements associés à `RequesterARN``EventSource`, et `ResourceARN` s'ils sont fournis.
+ Analyse les CloudTrail événements pour déterminer l'action exécutée lorsque l'erreur Accès refusé a été renvoyée, puis examine toutes les politiques IAM, telles que les politiques intégrées et gérées associées à l'entité IAM, ainsi que les politiques basées sur les ressources. Il simule ensuite ces politiques par rapport aux actions détectées dans les erreurs d'accès refusé issues des CloudTrail événements en question afin de déterminer la cause de l'erreur.
+ Produit un rapport qui détermine le type d'erreur d'accès refusé, les politiques responsables de ces erreurs et propose des solutions potentielles à l'erreur.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootIAMAccessDeniedEvents)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
/
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `apigateway:GetRestApis`
+ `cloudtrail:LookupEvents`
+ `cloud9:GetEnvironment`
+ `codeartifact:GetRepositoryPermissionsPolicy`
+ `ecr:GetRepositoryPolicy`
+ `elasticfilesystem:GetFileSystemPolicy`
+ `es:DescribeDomain`
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:GetRole`
+ `iam:GetRolePolicy`
+ `iam:GetUser`
+ `iam:GetUserPolicy`
+ `iam:ListAttachedRolePolicies`
+ `iam:ListAttachedUserPolicies`
+ `iam:ListRolePolicies`
+ `iam:ListUserPolicies`
+ `iam:SimulatePrincipalPolicy`
+ `iam:SimulateCustomPolicy`
+ `kms:GetKeyPolicy`
+ `lambda:GetPolicy`
+ `secretsmanager:GetResourcePolicy`
+ `serverlessrepo:GetApplication`
+ `signer:GetSigningProfile`
+ `sns:GetTopicAttributes`
+ `ssm:StartAutomationExecution`
+ `ssm:StopAutomationExecution`
+ `sqs:GetQueueAttributes`
+ `s3:GetBucketPolicy`
Exemple de politique :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:GetUser",
"iam:GetRole",
"iam:SimulatePrincipalPolicy",
"iam:ListUserPolicies",
"iam:ListRolePolicies",
"iam:GetRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:GetUserPolicy",
"iam:GetPolicyVersion",
"iam:ListAttachedUserPolicies",
"ssm:StartAutomationExecution",
"ssm:StopAutomationExecution",
"cloudtrail:LookupEvents",
"iam:SimulateCustomPolicy"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"s3:GetBucketPolicy",
"kms:GetKeyPolicy",
"lambda:GetPolicy",
"sns:GetTopicAttributes",
"ecr:GetRepositoryPolicy",
"apigateway:GET",
"codeartifact:GetRepositoryPermissionsPolicy",
"elasticfilesystem:DescribeFileSystemPolicy",
"sqs:GetQueueAttributes",
"cloud9:DescribeEnvironmentStatus",
"es:DescribeDomain",
"signer:GetSigningProfile",
"serverlessrepo:GetApplication",
"secretsmanager:GetResourcePolicy"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootIAMAccessDeniedEvents/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootIAMAccessDeniedEvents/description)à Systems Manager sous Documents.
1. Sélectionnez **Execute automation** (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
+ Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à SSM Automation d'effectuer les actions en votre nom. Le rôle doit être ajouté à votre entrée d'accès au cluster Amazon EKS ou à votre autorisation RBAC pour autoriser les appels d'API Kubernetes.
+ Type : `AWS::IAM::Role::Arn`
+ **RequesterArn (obligatoire) :**
+ Description : (Obligatoire) L'ARN de l'utilisateur ou du rôle IAM pour lequel vous souhaitez étudier les autorisations d'accès sur une AWS ressource spécifique.
+ Type : `String`
+ Autoriser le modèle : `^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::[0-9]{12}:(role|user)\\/[\\w+\\/=,.@-]+$`
+ **ResourceArn (facultatif) :**
+ Description : (Facultatif) L'ARN de AWS la ressource pour laquelle l'accès a été refusé est évalué. La ressource AWS cible doit se trouver dans la même région que celle où le runbook d'automatisation est exécuté.
+ Type : `String`
+ Autoriser le modèle : `^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):([a-zA-Z0-9\\-]{1,63}):([a-z0-9\\-]{0,63})?:(\\d{12})?:([a-zA-Z0-9\\-_/:.]{1,1024})$`
+ **EventSource (Obligatoire) :**
+ Description : (Obligatoire) Le point de terminaison de l'API Amazon d'où provient l' CloudTrailévénement. Par exemple : `s3.amazonaws.com`.
+ Type : `String`
+ Autoriser le modèle : `^([a-zA-Z0-9.-]+)\\.amazonaws\\.com$`
+ **EventName (Facultatif) :**
+ Description : (Facultatif) Le nom de l'action de l'API Amazon associée à l' CloudTrail événement. Par exemple : `s3:CreateBucket`.
+ Type : `String`
+ Autoriser le modèle : `^$|^[a-z0-9]+:[A-Za-z0-9]+$`
+ **LookBackHours (Facultatif) :**
+ Description : (Facultatif) Le nombre d'heures nécessaires pour consulter les CloudTrail événements lors de la recherche d'`Access Denied`événements. Plage valide : `1` jusqu'à 8 `24` heures.
+ Type : Integer
+ Autoriser le modèle : `^([1-9]|1[0-9]|2[0-4])$`
+ Par défaut : 12
+ **MaxEvents (Facultatif) :**
+ Description : (Facultatif) Le nombre maximum d' CloudTrail `Access Denied`événements renvoyés lors de la recherche d'événements. Plage valide : `1` jusqu'aux `5` événements.
+ Type : Integer
+ Autoriser le modèle : `^([1-9]|1[0-9]|2[0-4])$`
+ Valeur par défaut : 3
+ **UseContextEntries (Facultatif) :**
+ Description : (Facultatif) Si vous le spécifiez`true`, l'automatisation extrait de l' CloudTrail événement les détails relatifs au contexte de la demande d'API et les inclut pour la simulation de politique IAM.
+ Type : Boolean
+ Autoriser le modèle : `^([1-9]|1[0-9]|2[0-4])$`
+ Valeur par défaut : 3
1. Sélectionnez **Exécuter**.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **ValidateRequesterArn**
Valide et déconstruit l'`RequesterArn`ARN, en récupérant des informations sur l'utilisateur ou le rôle IAM cible.
+ **GetCloudTrailEvents****WithAccessDeniedError**
Interroge les CloudTrail événements pour connaître les `Access Denied` événements récents liés à l'entité et au AWS service `EventSource` IAM spécifiés.
+ **Évaluer IAMRequester les politiques**
Évalue les autorisations IAM de l'entité IAM demandeuse par rapport aux actions résultant des événements. CloudTrail Cette évaluation inclut l'analyse des politiques basées sur l'identité et les ressources associées au demandeur. L'automatisation utilise les capacités de simulation des politiques d'IAM pour évaluer ces politiques dans le contexte des actions refusées identifiées lors des CloudTrail événements.
1. Une fois terminé, consultez la section **Sorties** pour obtenir les résultats détaillés de l'exécution :
+ **PermissionEvaluationResults**
Produit un rapport qui aide à identifier les actions spécifiques qui ont été refusées, en distinguant les refus implicites des refus explicites. Il répertorie également les politiques responsables des refus d'accès et fournit des explications pour chaque refus. Le rapport suggère également des solutions potentielles, telles que l'identification des déclarations d'autorisation manquantes ou des déclarations de refus contradictoires
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/TroubleshootIAMAccessDeniedEvents/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
# `AWS-AttachIAMToInstance`
**Description**
Attachez un rôle Gestion des identités et des accès AWS (IAM) à une instance gérée.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-AttachIAMToInstance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ ForceReplace
Type : Boolean
Description : (Facultatif) Indicateur pour indiquer si le profil IAM existant doit être remplacé ou non.
Valeur par défaut : true
+ InstanceId
Type : Chaîne
Description : (Obligatoire) L'ID de l'instance à laquelle vous souhaitez attribuer un rôle IAM.
+ RoleName
Type : Chaîne
Description : (Obligatoire) Le nom du rôle IAM à ajouter à l'instance gérée.
**Étapes de document**
1. `aws:executeAwsApi`- DescribeInstanceProfile - Trouvez le profil d'instance IAM attaché à l'instance EC2.
1. `aws:branch`- CheckInstanceProfileAssociations - Vérifiez le profil d'instance IAM attaché à l'instance EC2.
1. Si un profil d'instance IAM est attaché et `ForceReplace` est défini sur : `true`
1. `aws:executeAwsApi`- DisassociateIamInstanceProfile - Dissociez le profil d'instance IAM de l'instance EC2.
1. `aws:executeAwsApi`- ListInstanceProfilesForRole - Répertoriez les profils d'instance pour le rôle IAM fourni.
1. `aws:branch`- CheckInstanceProfileCreated - Vérifiez si un profil d'instance est associé au rôle IAM fourni.
1. Si un profil d'instance est associé au rôle IAM :
1. `aws:executeAwsApi`- AttachIam ProfileToInstance - Attachez le rôle de profil d'instance IAM à l'instance EC2.
1. Si aucun profil d'instance n'est associé au rôle IAM :
1. `aws:executeAwsApi`- CreateInstanceProfileForRole - Créez un rôle de profil d'instance pour le rôle IAM spécifié.
1. `aws:executeAwsApi`- AddRoleToInstanceProfile - Attachez le rôle de profil d'instance au rôle IAM spécifié.
1. `aws:executeAwsApi`- GetInstanceProfile - Obtenez les données du profil d'instance pour le rôle IAM spécifié.
1. `aws:executeAwsApi`- AttachIam ProfileToInstanceWithRetry - Attachez le rôle de profil d'instance IAM à l'instance EC2.
**Sorties**
Joindre IAMProfileToInstanceWithRetry. AssociationId
GetInstanceProfile.InstanceProfileName
GetInstanceProfile.InstanceProfileArn
Joindre IAMProfileToInstance. AssociationId
ListInstanceProfilesForRole.InstanceProfileName
ListInstanceProfilesForRole.InstanceProfileArn
# `AWS-DeleteIAMInlinePolicy`
**Description**
Le `AWS-DeleteIAMInlinePolicy` runbook supprime toutes les politiques intégrées Gestion des identités et des accès AWS (IAM) associées aux identités IAM que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-DeleteIAMInlinePolicy)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ IamArns
Type : Chaîne
Description : (Obligatoire) Liste séparée par des ARNs virgules des identités IAM dont vous souhaitez supprimer les politiques intégrées. Cette liste peut inclure des utilisateurs, des groupes ou des rôles IAM.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `iam:DeleteGroupPolicy`
+ `iam:DeleteRolePolicy`
+ `iam:DeleteUserPolicy`
+ `iam:ListGroupPolicies`
+ `iam:ListRolePolicies`
+ `iam:ListUserPolicies`
**Étapes de document**
+ `aws:executeScript`- Supprime les politiques en ligne IAM associées aux identités IAM ciblées.
# `AWSConfigRemediation-DeleteIAMRole`
**Description**
Le `AWSConfigRemediation-DeleteIAMRole` runbook supprime le rôle Gestion des identités et des accès AWS (IAM) que vous spécifiez. Cette automatisation ne supprime pas les profils d'instance associés au rôle IAM, ni les rôles liés à un service.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteIAMRole)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ IAMRoleID
Type : Chaîne
Description : (Obligatoire) L'ID du rôle IAM que vous souhaitez supprimer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `iam:DeleteRole`
+ `iam:DeleteRolePolicy`
+ `iam:GetRole`
+ `iam:ListAttachedRolePolicies`
+ `iam:ListInstanceProfilesForRole`
+ `iam:ListRolePolicies`
+ `iam:ListRoles`
+ `iam:RemoveRoleFromInstanceProfile`
**Étapes de document**
+ `aws:executeScript`- Rassemble le nom du rôle IAM que vous spécifiez dans le `IAMRoleID` paramètre.
+ `aws:executeScript`- Rassemble les politiques et les profils d'instance associés au rôle IAM.
+ `aws:executeScript`- Supprime les politiques jointes.
+ `aws:executeScript`- Supprime le rôle IAM et vérifie qu'il a été supprimé.
# `AWSConfigRemediation-DeleteIAMUser`
**Description**
Le `AWSConfigRemediation-DeleteIAMUser` runbook supprime l'utilisateur Gestion des identités et des accès AWS (IAM) que vous spécifiez. Cette automatisation supprime ou détache les ressources suivantes associées à l'utilisateur IAM :
+ Clés d'accès
+ Politiques gérées associées
+ Informations d'identification Git
+ Adhésions au groupe IAM
+ Mot de passe utilisateur IAM
+ Politiques en ligne
+ Dispositifs d'authentification multifactorielle (MFA)
+ Certificats de signature
+ Clés publiques SSH
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteIAMUser)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ IAMUserID
Type : Chaîne
Description : (Obligatoire) L'ID de l'utilisateur IAM que vous souhaitez supprimer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `iam:DeactivateMFADevice`
+ `iam:DeleteAccessKey`
+ `iam:DeleteLoginProfile`
+ `iam:DeleteServiceSpecificCredential`
+ `iam:DeleteSigningCertificate`
+ `iam:DeleteSSHPublicKey`
+ `iam:DeleteVirtualMFADevice`
+ `iam:DeleteUser`
+ `iam:DeleteUserPolicy`
+ `iam:DetachUserPolicy`
+ `iam:GetUser`
+ `iam:ListAttachedUserPolicies`
+ `iam:ListAccessKeys`
+ `iam:ListGroupsForUser`
+ `iam:ListMFADevices`
+ `iam:ListServiceSpecificCredentials`
+ `iam:ListSigningCertificates`
+ `iam:ListSSHPublicKeys`
+ `iam:ListUserPolicies`
+ `iam:ListUsers`
+ `iam:RemoveUserFromGroup`
**Étapes de document**
+ `aws:executeScript`- Rassemble le nom d'utilisateur de l'utilisateur IAM que vous spécifiez dans le `IAMUserId` paramètre.
+ `aws:executeScript`- Rassemble les clés d'accès, les certificats, les informations d'identification, les périphériques MFA et les clés SSH associés à l'utilisateur IAM.
+ `aws:executeScript`- Rassemble les appartenances aux groupes et les politiques de l'utilisateur IAM.
+ `aws:executeScript`- Supprime les clés d'accès, les certificats, les informations d'identification, les périphériques MFA et les clés SSH associés à l'utilisateur IAM.
+ `aws:executeScript`- Supprime les appartenances aux groupes et les politiques de l'utilisateur IAM.
+ `aws:executeScript`- Supprime l'utilisateur IAM et vérifie qu'il a été supprimé.
# `AWSConfigRemediation-DeleteUnusedIAMGroup`
**Description**
Le `AWSConfigRemediation-DeleteUnusedIAMGroup` runbook supprime un groupe IAM qui ne contient aucun utilisateur.
Le `AWSConfigRemediation-DeleteUnusedIAMGroup` runbook supprime un groupe IAM qui ne contient aucun utilisateur.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteUnusedIAMGroup)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ GroupName
Type : Chaîne
Description : (Obligatoire) Nom du groupe IAM que vous souhaitez supprimer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `iam:DeleteGroup`
+ `iam:DeleteGroupPolicy`
+ `iam:DetachGroupPolicy`
**Étapes de document**
+ `aws:executeScript`- Supprime les politiques IAM gérées et intégrées associées au groupe IAM cible, puis supprime le groupe IAM.
# `AWSConfigRemediation-DeleteUnusedIAMPolicy`
**Description**
Le `AWSConfigRemediation-DeleteUnusedIAMPolicy` runbook supprime une politique Gestion des identités et des accès AWS (IAM) qui n'est attachée à aucun utilisateur, groupe ou rôle.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteUnusedIAMPolicy)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ IAMResourceID
Type : Chaîne
Description : (Obligatoire) L'identifiant de ressource de la politique IAM que vous souhaitez supprimer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `config:GetResourceConfigHistory`
+ `config:ListDiscoveredResources`
+ `iam:DeletePolicy`
+ `iam:DeletePolicyVersion`
+ `iam:GetPolicy`
+ `iam:ListEntitiesForPolicy`
+ `iam:ListPolicyVersions`
**Étapes de document**
+ `aws:executeScript`- Supprime la politique que vous spécifiez dans le `IAMResourceId` paramètre et vérifie qu'elle a été supprimée.
# `AWSConfigRemediation-DetachIAMPolicy`
**Description**
Le `AWSConfigRemediation-DetachIAMPolicy` runbook détache la politique Gestion des identités et des accès AWS (IAM) que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DetachIAMPolicy)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ IAMResourceID
Type : Chaîne
Description : (Obligatoire) L'ID de la politique IAM que vous souhaitez détacher.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `config:GetResourceConfigHistory`
+ `config:ListDiscoveredResources`
+ `iam:DetachGroupPolicy`
+ `iam:DetachRolePolicy`
+ `iam:DetachUserPolicy`
+ `iam:GetPolicy`
+ `iam:ListEntitiesForPolicy`
**Étapes de document**
+ `aws:executeScript`- Détache la politique IAM de toutes les ressources.
# `AWSConfigRemediation-EnableAccountAccessAnalyzer`
**Description**
Le `AWSConfigRemediation-EnableAccountAccessAnalyzer` runbook crée un analyseur d'accès Gestion des identités et des accès AWS (IAM) dans votre. Compte AWS Pour plus d'informations sur Access Analyzer, consultez la section [Utilisation d' AWS IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) dans le guide de l'utilisateur d'*IAM*.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableAccountAccessAnalyzer)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AnalyzerName
Type : Chaîne
Description : (Obligatoire) Nom de l'analyseur à créer.
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `access-analyzer:CreateAnalyzer`
+ `access-analyzer:GetAnalyzer`
**Étapes de document**
+ `aws:executeAwsApi`- Crée un analyseur d'accès pour votre compte.
+ `aws:waitForAwsResourceProperty`- Attend que l'état de l'analyseur d'accès soit atteint. `ACTIVE`
+ `aws:assertAwsResourceProperty`- Confirme que l'état de l'analyseur d'accès est`ACTIVE`.
# `AWSSupport-GrantPermissionsToIAMUser`
**Description**
Ce runbook accorde les autorisations spécifiées à un groupe IAM (nouveau ou existant) et y ajoute l'utilisateur IAM existant. Stratégies que vous pouvez choisir : [Billing](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/job-function/Billing$serviceLevelSummary) ou [Support](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSSupportAccess$serviceLevelSummary). Pour activer l'accès à la facturation pour IAM, n'oubliez pas d'activer également l'[accès des utilisateurs IAM et fédérés aux pages Billing and Cost Management](https://docs.aws.amazon.com/console/iam/billing-enable).
**Important**
Si vous fournissez un groupe IAM, tous les utilisateurs IAM du groupe reçoivent les nouvelles autorisations.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-GrantPermissionsToIAMUser)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ IAMGroupNom
Type : Chaîne
Par défaut : ExampleSupportAndBillingGroup
Description : (Obligatoire) il peut d'agir d'un groupe nouveau ou existant. Doit se conformer aux [Limites des noms d'entité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html#reference_iam-limits-names).
+ IAMUserNom
Type : Chaîne
Par défaut : ExampleUser
Description : (Obligatoire) il doit s'agir d'un utilisateur existant.
+ LambdaAssumeRole
Type : Chaîne
Description : (Facultatif) ARN du rôle assumé par la fonction Lambda.
+ Permissions
Type : Chaîne
Valeurs valides : SupportFullAccess \$1 BillingFullAccess \$1 SupportAndBillingFullAccess
Par défaut : SupportAndBillingFullAccess
Description : (Obligatoire) Choisissez l'une des options suivantes : `SupportFullAccess` accorde un accès complet au centre de support. `BillingFullAccess`accorde un accès complet au tableau de bord de facturation. `SupportAndBillingFullAccess`accorde un accès complet au centre de Support et au tableau de bord de facturation. Plus d'informations sur les stratégies sous Détails du document.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
Les autorisations requises dépendent du mode `AWSSupport-GrantPermissionsToIAMUser` d'exécution.
**Exécuter en tant qu'utilisateur ou rôle actuellement connecté**
Il est recommandé de joindre la politique gérée par `AmazonSSMAutomationRole` Amazon et les autorisations supplémentaires suivantes pour pouvoir créer la fonction Lambda et le rôle IAM à transmettre à Lambda :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"lambda:InvokeFunction",
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:GetFunction"
],
"Resource": "arn:aws:lambda:*:111122223333:function:AWSSupport-*",
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateGroup",
"iam:AddUserToGroup",
"iam:ListAttachedGroupPolicies",
"iam:GetGroup",
"iam:GetUser"
],
"Resource": [
"arn:aws:iam::*:user/*",
"arn:aws:iam::*:group/*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:AttachGroupPolicy"
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"iam:PolicyArn": [
"arn:aws:iam::aws:policy/job-function/Billing",
"arn:aws:iam::aws:policy/AWSSupportAccess"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:ListAccountAliases",
"iam:GetAccountSummary"
],
"Resource": "*"
}
]
}
```
------
**Utilisation AutomationAssumeRole et LambdaAssumeRole**
L'utilisateur doit disposer des StartAutomationExecution autorisations **ssm :** sur le runbook et **iam : PassRole sur les rôles IAM** transmis sous forme et. **AutomationAssumeRole**LambdaAssumeRole**** Voici les autorisations dont chaque rôle IAM a besoin :
```
AutomationAssumeRole
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"lambda:InvokeFunction",
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:GetFunction"
],
"Resource": "arn:aws:lambda:*:ACCOUNTID:function:AWSSupport-*",
"Effect": "Allow"
}
]
}
```
```
LambdaAssumeRole
{
"Version": "2012-10-17",
"Statement": [
{
"Effect" : "Allow",
"Action" : [
"iam:CreateGroup",
"iam:AddUserToGroup",
"iam:ListAttachedGroupPolicies",
"iam:GetGroup",
"iam:GetUser"
],
"Resource" : [
"arn:aws:iam::*:user/*",
"arn:aws:iam::*:group/*"
]
},
{
"Effect" : "Allow",
"Action" : [
"iam:AttachGroupPolicy"
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"iam:PolicyArn": [
"arn:aws:iam::aws:policy/job-function/Billing",
"arn:aws:iam::aws:policy/AWSSupportAccess"
]
}
}
},
{
"Effect" : "Allow",
"Action" : [
"iam:ListAccountAliases",
"iam:GetAccountSummary"
],
"Resource" : "*"
}
]
}
```
**Étapes de document**
1. `aws:createStack`- Exécutez CloudFormation Template pour créer une fonction Lambda.
1. `aws:invokeLambdaFunction`- Exécutez Lambda pour définir les autorisations IAM.
1. `aws:deleteStack`- Supprimer le CloudFormation modèle.
**Sorties**
configureIAM.Payload
# `AWSConfigRemediation-RemoveUserPolicies`
**Description**
Le `AWSConfigRemediation-RemoveUserPolicies` runbook supprime les politiques intégrées Gestion des identités et des accès AWS (IAM) et détache toutes les politiques gérées associées à l'utilisateur que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-RemoveUserPolicies)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ IAMUserID
Type : Chaîne
Description : (Obligatoire) L'ID de l'utilisateur dont vous souhaitez supprimer les politiques.
+ PolicyType
Type : Chaîne
Valeurs valides : Toutes \$1 Inline \$1 Géré
Par défaut : Tous
Description : (Obligatoire) Type de politiques IAM que vous souhaitez supprimer pour l'utilisateur.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `iam:DeleteUserPolicy`
+ `iam:DetachUserPolicy`
+ `iam:ListAttachedUserPolicies`
+ `iam:ListUserPolicies`
+ `iam:ListUsers`
**Étapes de document**
+ `aws:executeScript`- Supprime et détache les politiques IAM de l'utilisateur que vous spécifiez dans le paramètre. `IAMUserID`
# `AWSConfigRemediation-ReplaceIAMInlinePolicy`
**Description**
Le `AWSConfigRemediation-ReplaceIAMInlinePolicy` runbook remplace une politique en ligne Gestion des identités et des accès AWS (IAM) par une stratégie IAM gérée répliquée. Pour une politique intégrée attachée à un utilisateur, un groupe ou un rôle, les autorisations de politique en ligne sont clonées dans une stratégie IAM gérée. La stratégie IAM gérée est ajoutée à la ressource et la stratégie intégrée est supprimée. AWS Config doit être activé dans l' Région AWS endroit où vous exécutez cette automatisation.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-ReplaceIAMInlinePolicy)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ InlinePolicyName
Type : StringList
Description : (Obligatoire) La politique IAM intégrée que vous souhaitez remplacer.
+ ResourceId
Type : Chaîne
Description : (Obligatoire) L'ID de l'utilisateur, du groupe ou du rôle IAM dont vous souhaitez remplacer la politique en ligne.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `iam:AttachGroupPolicy`
+ `iam:AttachRolePolicy`
+ `iam:AttachUserPolicy`
+ `iam:CreatePolicy`
+ `iam:CreatePolicyVersion`
+ `iam:DeleteGroupPolicy`
+ `iam:DeleteRolePolicy`
+ `iam:DeleteUserPolicy`
+ `iam:GetGroupPolicy`
+ `iam:GetRolePolicy`
+ `iam:GetUserPolicy`
+ `iam:ListGroupPolicies`
+ `iam:ListRolePolicies`
+ `iam:ListUserPolicies`
**Étapes de document**
+ `aws:executeScript`- Remplacez la stratégie IAM intégrée par une stratégie AWS répliquée sur la ressource que vous spécifiez.
# `AWSConfigRemediation-RevokeUnusedIAMUserCredentials`
**Description**
Le `AWSConfigRemediation-RevokeUnusedIAMUserCredentials` runbook révoque les mots de passe Gestion des identités et des accès AWS (IAM) non utilisés et les clés d'accès actives. Ce runbook désactive également les clés d'accès expirées et supprime les profils de connexion expirés. AWS Config doit être activé dans l' Région AWS endroit où vous exécutez cette automatisation.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-RevokeUnusedIAMUserCredentials)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ IAMResourceID
Type : Chaîne
Description : (Obligatoire) L'ID de la ressource IAM dont vous souhaitez révoquer les informations d'identification non utilisées.
+ MaxCredentialUsageAge
Type : Chaîne
Valeur par défaut : 90
Description : (Obligatoire) Le nombre de jours pendant lesquels l'identifiant doit avoir été utilisé.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `config:ListDiscoveredResources`
+ `iam:DeleteAccessKey`
+ `iam:DeleteLoginProfile`
+ `iam:GetAccessKeyLastUsed`
+ `iam:GetLoginProfile`
+ `iam:GetUser`
+ `iam:ListAccessKeys`
+ `iam:UpdateAccessKey`
**Étapes de document**
+ `aws:executeScript`- Révoque les informations d'identification IAM de l'utilisateur spécifié dans le `IAMResourceId` paramètre. Les clés d'accès expirées sont désactivées et les profils de connexion expirés sont supprimés.
**Note**
Assurez-vous de configurer le `MaxCredentialUsageAge` paramètre de cette action de correction pour qu'il corresponde au `maxAccessKeyAge` paramètre de la AWS Config règle que vous utilisez pour déclencher cette action : [access-keys-rotated](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html).
# `AWSConfigRemediation-SetIAMPasswordPolicy`
**Description**
Le `AWSConfigRemediation-SetIAMPasswordPolicy` runbook définit la politique de mot de passe utilisateur Gestion des identités et des accès AWS (IAM) pour votre. Compte AWS
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-SetIAMPasswordPolicy)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ AllowUsersToChangePassword
Type : Boolean
Valeur par défaut : false
Description : (Facultatif) Si ce paramètre est défini sur`true`, tous les utilisateurs IAM de votre site Compte AWS peuvent l'utiliser AWS Management Console pour modifier leur mot de passe.
+ HardExpiry
Type : Boolean
Valeur par défaut : false
Description : (Facultatif) Si ce paramètre est défini sur`true`, les utilisateurs IAM ne peuvent pas réinitialiser leur mot de passe une fois celui-ci expiré.
+ MaxPasswordAge
Type : Integer
Par défaut : 0
Description : (Facultatif) Le nombre de jours pendant lesquels le mot de passe d'un utilisateur IAM est valide.
+ MinimumPasswordLength
Type : Integer
Par défaut : 6
Description : (Facultatif) Le nombre minimal de caractères que peut contenir le mot de passe d'un utilisateur IAM.
+ PasswordReusePrevention
Type : Integer
Par défaut : 0
Description : (Facultatif) Nombre de mots de passe précédents qu'un utilisateur IAM n'a pas pu réutiliser.
+ RequireLowercaseCharacters
Type : Boolean
Valeur par défaut : false
Description : (Facultatif) S'il est défini sur`true`, le mot de passe d'un utilisateur IAM doit contenir un caractère minuscule issu de l'alphabet latin de base ISO (a à z).
+ RequireNumbers
Type : Boolean
Valeur par défaut : false
Description : (Facultatif) S'il est défini sur`true`, le mot de passe d'un utilisateur IAM doit contenir un caractère numérique (0-9).
+ RequireSymbols
Type : Boolean
Valeur par défaut : false
Description : (Facultatif) S'il est défini sur`true`, le mot de passe d'un utilisateur IAM doit contenir un caractère non alphanumérique (\$1 @ \$1 \$1 % ^ \$1 () \$1 \$1 - = [] \$1\$1 \$1 ').
+ RequireUppercaseCharacters
Type : Boolean
Valeur par défaut : false
Description : (Facultatif) S'il est défini sur`true`, le mot de passe d'un utilisateur IAM doit contenir un caractère majuscule issu de l'alphabet latin de base ISO (A à Z).
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `iam:GetAccountPasswordPolicy`
+ `iam:UpdateAccountPasswordPolicy`
**Étapes de document**
+ `aws:executeScript`- Définit la politique de mot de passe utilisateur IAM en fonction des valeurs que vous spécifiez pour les paramètres du runbook de votre. Compte AWS
# `AWSSupport-ContainIAMPrincipal`
**Description**
En cas d'incident de sécurité ou de suspicion de compromission d'un utilisateur/rôle Gestion des identités et des accès AWS (IAM) ou d'un utilisateur du AWS Identity Center (IDC), il est essentiel d'isoler rapidement l'identité affectée tout en préservant sa configuration pour les besoins de l'enquête. Le `AWSSupport-ContainIAMPrincipal` runbook propose une approche structurée et réversible pour contenir les identités IAM ou IDC compromises, en bloquant efficacement leur accès aux AWS ressources et en empêchant la propagation potentielle de la compromission.
Ce processus automatisé permet une enquête sans modification permanente de la configuration de l'identité, ce qui permet de rétablir un accès normal lorsque cela est jugé approprié. Le processus de confinement préserve l'utilisateur ou le rôle au sein d'IAM ou l'utilisateur au sein d'IDC, tout en l'isolant efficacement de toutes les activités du réseau. Cette isolation empêche la ressource d'identité contenue de communiquer avec les ressources de votre Amazon Virtual Private Cloud ou d'accéder aux ressources Internet. Le confinement est conçu pour être réversible, ce qui permet de rétablir un accès normal lorsque cela est jugé approprié.
**Fonctionnement**
Le `AWSSupport-ContainIAMPrincipal` runbook met en œuvre un processus de confinement complet pour les utilisateurs, les rôles et les utilisateurs d'Identity Center IAM. Lorsqu'il est exécuté en `Contain` mode, il valide d'abord tous les paramètres d'entrée et effectue des contrôles de sécurité sur le compartiment Amazon S3 spécifié. Il recueille ensuite des informations détaillées sur le principal IAM cible et applique les mesures de confinement appropriées en fonction du type principal. Pour les utilisateurs IAM, il désactive les clés d'accès, supprime l'accès à la console et associe une politique de refus. Pour les rôles IAM, il associe une politique de refus qui révoque les autorisations pour les sessions créées avant le confinement. Pour les utilisateurs d'Identity Center, il supprime les ensembles d'autorisations, les appartenances à des groupes et applique une politique de refus. Tout au long du processus, le runbook sauvegarde la configuration d'origine dans un compartiment Amazon S3 en vue d'une éventuelle restauration. Lorsqu'il est exécuté en `Restore` mode, il tente de rétablir le principal dans son état d'avant le confinement à l'aide de la configuration sauvegardée. Le runbook inclut une `DryRun` option permettant de prévisualiser les modifications sans les appliquer, et fournit des rapports complets sur les opérations réussies et les scénarios d'échec.
**Important**
**Utilisation de privilèges élevés :** ce document SSM effectue diverses opérations nécessitant des privilèges élevés, telles que la modification des politiques d'identité IAM et IDC et l'application de configurations de quarantaine. Ces actions peuvent potentiellement entraîner une augmentation des privilèges ou avoir un impact sur d'autres charges de travail qui dépendent des identités ciblées. Vous devez vérifier les autorisations accordées au rôle spécifié par le `AutomationAssumeRole` paramètre et vous assurer qu'elles sont adaptées au cas d'utilisation prévu. Vous pouvez consulter la AWS documentation suivante pour plus d'informations sur les autorisations IAM :
[Autorisations de gestion des identités et des accès (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_permissions.html)
[AWS Autorisations d'automatisation de Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-permissions.html)
**Risques d'indisponibilité de la charge de travail :** ce document Systems Manager effectue des actions d'isolation susceptibles d'entraîner une indisponibilité ou une interruption de vos charges de travail. Lorsqu'il est exécuté lors d'un événement de sécurité, il restreint l'accès à la ressource affectée en révoquant les autorisations d' AWS API associées aux identités IAM et IDC spécifiées, les empêchant ainsi d'effectuer des appels ou des actions d' AWS API. Cela peut avoir un impact sur les applications ou les services qui dépendent de ces identités.
**Création de ressources supplémentaires :** le document d'automatisation peut créer de manière conditionnelle des ressources supplémentaires, telles qu'un bucket Amazon Simple Storage Service (Amazon S3) et des objets Amazon S3 qui y sont stockés, en fonction des paramètres d'exécution. Ces ressources entraîneront des frais supplémentaires en fonction de votre AWS utilisation.
**Risques liés à la restauration :** si le paramètre *Action* est défini sur`Restore`, ce document SSM tente de restaurer la configuration d'identité IAM ou IDC à son état d'origine. Cependant, le processus de restauration risque d'échouer, laissant l'identité IAM ou IDC dans un état incohérent. Le document fournit des instructions pour la restauration manuelle en cas de telles défaillances, mais vous devez être prêt à gérer les problèmes potentiels pendant le processus de restauration.
Il est recommandé de lire attentivement le runbook, de comprendre ses impacts potentiels et de le tester dans un environnement hors production avant de l'exécuter dans votre environnement de production.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ContainIAMPrincipal)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
/
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les autorisations suivantes pour utiliser correctement le runbook :
+ s3 : GetBucketLocation
+ s3 : GetBucket
+ s3 : ListBucket
+ s3 : GetBucketPublicAccessBlocks
+ s3 : GetAccountPublicAccessBlocks
+ s3 : GetBucketPolicyStatus
+ s3 : GetBucketAcl
+ s3 : GetObject
+ s3 : CreateBucket
+ s3 : PutObject
+ iam : GetUser
+ iam : GetUserPolicy
+ iam : GetRole
+ iam : ListUserPolicies
+ iam : ListAttachedUserPolicies
+ iam : ListAccessKeys
+ iam : ListMfaDevices
+ iam : ListVirtual MFADevices
+ iam : GetLoginProfile
+ iam : GetPolicy
+ iam : GetRolePolicy
+ iam : ListPolicies
+ iam : ListAttachedRolePolicies
+ iam : ListRolePolicies
+ iam : UpdateAccessKey
+ iam : CreateAccessKey
+ iam : DeleteLoginProfile
+ iam : DeleteAccessKey
+ iam : PutUserPolicy
+ iam : DeleteUserPolicy
+ IAM : Désactiver MFADevice
+ iam : AttachRolePolicy
+ iam : AttachUserPolicy
+ iam : DeleteRolePolicy
+ IAM : TAG MFADevice
+ iam : PutRolePolicy
+ iam : TagPolicy
+ iam : TagRole
+ iam : TagUser
+ iam : UntagUser
+ iam : UntagRole
+ organisations : ListAccounts
+ SSO : ListPermissionSetsProvisionedToAccount
+ SSO : GetInlinePolicyForPermissionSet
+ SSO : ListInstances
+ répertoire SSO : SearchUsers
+ SSO : ListPermissionSets
+ SSO : ListAccountAssignments
+ répertoire SSO : DescribeUser
+ boutique d'identité : ListUsers
+ boutique d'identité : ListGroups
+ boutique d'identité : IsMemberInGroups
+ boutique d'identité : ListGroupMemberships
+ responsable des secrets : CreateSecret
+ responsable des secrets : DeleteSecret
+ SSO : DeleteAccountAssignment
+ SSO : PutInlinePolicyToPermissionSet
+ SSO : CreateAccountAssignment
+ SSO : DeleteInlinePolicyFromPermissionSet
+ SSO : TagResource
+ SSO : UntagResource
+ boutique d'identité : DeleteGroupMembership
+ boutique d'identité : CreateGroupMembership
Voici un exemple de politique IAM qui accorde les autorisations nécessaires pour : `AutomationAssumeRole`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Permissions",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketPolicyStatus",
"s3:GetBucketAcl",
"s3:GetObject",
"s3:CreateBucket",
"s3:PutObject"
],
"Resource": "*"
},
{
"Sid": "IAMPermissions",
"Effect": "Allow",
"Action": [
"iam:GetUser",
"iam:GetUserPolicy",
"iam:GetRole",
"iam:ListUserPolicies",
"iam:ListAttachedUserPolicies",
"iam:ListAccessKeys",
"iam:ListMfaDevices",
"iam:ListVirtualMFADevices",
"iam:GetLoginProfile",
"iam:GetPolicy",
"iam:GetRolePolicy",
"iam:ListPolicies",
"iam:ListAttachedRolePolicies",
"iam:ListRolePolicies",
"iam:UpdateAccessKey",
"iam:CreateAccessKey",
"iam:DeleteLoginProfile",
"iam:DeleteAccessKey",
"iam:PutUserPolicy",
"iam:DeleteUserPolicy",
"iam:DeactivateMFADevice",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DeleteRolePolicy",
"iam:TagMFADevice",
"iam:PutRolePolicy",
"iam:TagPolicy",
"iam:TagRole",
"iam:TagUser",
"iam:UntagUser",
"iam:UntagRole"
],
"Resource": "*"
},
{
"Sid": "OrganizationsPermissions",
"Effect": "Allow",
"Action": [
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Sid": "SSOPermissions",
"Effect": "Allow",
"Action": [
"sso:ListPermissionSetsProvisionedToAccount",
"sso:GetInlinePolicyForPermissionSet",
"sso:ListInstances",
"sso-directory:SearchUsers",
"sso:ListPermissionSets",
"sso:ListAccountAssignments",
"sso-directory:DescribeUser",
"sso:DeleteAccountAssignment",
"sso:PutInlinePolicyToPermissionSet",
"sso:CreateAccountAssignment",
"sso:DeleteInlinePolicyFromPermissionSet",
"sso:TagResource",
"sso:UntagResource"
],
"Resource": "*"
},
{
"Sid": "IdentityStorePermissions",
"Effect": "Allow",
"Action": [
"identitystore:ListUsers",
"identitystore:ListGroups",
"identitystore:IsMemberInGroups",
"identitystore:ListGroupMemberships",
"identitystore:DeleteGroupMembership",
"identitystore:CreateGroupMembership"
],
"Resource": "*"
},
{
"Sid": "SecretsManagerPermissions",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:DeleteSecret"
],
"Resource": "*"
}
]
}
```
------
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez au [AWSSupport-ContainIAMPrincipal](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ContainIAMPrincipal/description)dans la console AWS Systems Manager.
1. Sélectionnez **Execute automation** (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
+ Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Type : `AWS::IAM::Role::Arn`
+ **PrincipalType (Obligatoire) :**
+ Description : (Obligatoire) Type principal AWS IAM : utilisateur IAM, rôle IAM ou utilisateur du centre d'identité.
+ Type : Chaîne
+ Valeurs autorisées : `IAM user|IAM role|Identity Center user`
+ **PrincipalName (Obligatoire) :**
+ Description : (Obligatoire) Le nom du principal IAM. Pour les utilisateurs d'Identity Center, indiquez le nom d'utilisateur.
+ Type : Chaîne
+ Modèle autorisé : `^[a-zA-Z0-9\\.\\-_\\\\!*'()/+=,@]{1,1024}$`
+ **Action (obligatoire) :**
+ Description : (Obligatoire) Sélectionnez `Contain` cette option pour isoler le principal IAM cible ou `Restore` pour essayer de restaurer la configuration d'origine du principal IAM depuis une sauvegarde précédente.
+ Type : Chaîne
+ Valeurs autorisées : `Contain|Restore`
+ **DryRun (Facultatif) :**
+ Description : (Facultatif) Lorsqu'elle est définie sur`true`, l'automatisation n'apporte aucune modification au principal IAM cible, mais indique ce qu'elle aurait tenté de modifier, en détaillant chaque étape. Valeur par défaut : `true`.
+ Type : Boolean
+ Valeurs autorisées : `true|false`
+ **ActivateDisabledKeys(Conditionnel) :**
+ Description : (Conditionnel) Si le paramètre d'entrée Action est défini sur `Restore` et PrincipalType est défini sur utilisateur IAM, cette option détermine si cette automatisation doit essayer d'activer les clés d'accès associées si elle est désactivée. Veuillez noter que l'intégrité d'une clé d'accès compromise ne peut pas être vérifiée. AWS recommande vivement de ne pas réactiver une clé compromise. Il est préférable de générer de nouvelles clés. Valeur par défaut : `false`.
+ Type : Boolean
+ Valeurs autorisées : `true|false`
+ **BackupS3 BucketName (conditionnel) :**
+ Description : (Conditionnel) Le compartiment Amazon Amazon S3 pour sauvegarder la configuration principale IAM lorsque l'action est définie sur `Contain` ou pour restaurer la configuration à partir du moment où l'action est `Restore` définie. Notez que si l'action spécifiée est `Contain` et que le runbook n'est pas en mesure d'accéder au bucket ou si aucune valeur n'est fournie, un nouveau bucket est créé dans votre compte avec ce nom`awssupport-containiamprincipal-`. S'il DryRun est défini sur `true` ce paramètre, il est obligatoire.
+ Type : `AWS::S3::Bucket::Name`
+ **BackupS3 KeyName (conditionnel) :**
+ Description : (Conditionnel) Si Action est défini sur`Restore`, cela indique la clé Amazon S3 que l'automatisation utilisera pour tenter de restaurer la configuration principale de l'IAM. La clé Amazon Amazon S3 suit généralement ce format :`{year}/{month}/{day}/{hour}/{minute}/{automation_execution_id}.json`. La clé peut être obtenue à partir de la sortie d'une précédente exécution d'automatisation du confinement.
+ Type : Chaîne
+ Modèle autorisé : `^[a-zA-Z0-9\\.\\-_\\\\!*'()/]{0,1024}$`
+ **BackupS3 BucketAccess (conditionnel) :**
+ Description : (Conditionnel) L'ARN des utilisateurs ou des rôles IAM qui seront autorisés à accéder au compartiment Amazon Amazon S3 de sauvegarde après avoir exécuté les actions de confinement. Ce paramètre est obligatoire lorsque Action est activé`Contain`. L'utilisateur ou AutomationAssumeRole, en son absence, l'utilisateur dans le contexte duquel l'automatisation est exécutée est automatiquement ajouté à la liste.
+ Type : StringList
+ Modèle autorisé : `^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::[0-9]{12}:(role|user)\\/[\\w+\\/=,.@-]+$`
+ **TagIdentifier (Facultatif) :**
+ Description : (Facultatif) Marquez le principal IAM avec un tag de votre choix en utilisant le format suivant :`Key=,Value=`. Cette option vous permet de suivre les principes IAM ciblés par ce runbook. **Remarque :** les clés et les valeurs des balises distinguent les majuscules et minuscules.
+ Type : Chaîne
+ Modèle autorisé : `^$|^[Kk][Ee][Yy]=[\\+\\-\\=\\.\\_\\:\\/@a-zA-Z0-9]{1,128},[Vv][Aa][Ll][Uu][Ee]=[\\+\\-\\=\\.\\_\\:\\/@a-zA-Z0-9]{0,128}$`
1. Sélectionnez Exécuter.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **ValidateRequiredInputs**
Valide les paramètres d'entrée d'automatisation requis en fonction des paramètres `Action` spécifiés.
+ **CheckBackupS3BucketName**
Vérifie si le compartiment Amazon S3 cible accorde potentiellement un accès `write` public `read` ou accorde un accès public à ses objets. Dans le cas d'un flux de travail de confinement, un nouveau compartiment Amazon Amazon S3 est créé s'il n'existe pas. `BackupS3BucketName`
+ **BranchOnAction**
Branche l'automatisation en fonction de la valeur spécifiée`Action`.
+ **BranchOnPrincipalTypeAndDryRun**
Branche l'automatisation en fonction du type de principal IAM (utilisateur IAM, rôle IAM ou utilisateur du centre d'identité) et s'il est exécuté en mode. `DryRun`
+ **BranchOnPrincipalTypeForContain**
Branche l'automatisation pour le type principal IAM basé sur l'`Contain`action (utilisateur IAM, rôle IAM ou utilisateur du centre d'identité) spécifiés dans l'entrée.
+ **Obtenez IAMUser**
Obtient l'heure de création et le nom d'utilisateur de l'utilisateur IAM cible.
+ **Obtenir des IAMUser détails**
Obtient et stocke la configuration de l'utilisateur IAM cible, y compris les politiques intégrées, les politiques gérées, les clés d'accès, les appareils MFA et le profil de connexion.
+ **Mises à jour 3 KeyForUser**
Met à jour la variable d'automatisation « S3Key » à partir de la sortie de l'étape. `GetIAMUserDetails`
+ **Obtenez IAMRole**
Obtient l'heure de création, le nom du rôle et le chemin du rôle IAM cible.
+ **Obtenir des IAMRole détails**
Obtient et stocke la configuration du rôle IAM cible, y compris les politiques intégrées et les politiques gérées associées au rôle.
+ **Mises à jour 3 KeyForRole**
Met à jour la variable d'automatisation « S3Key » à partir de la sortie de l'étape. `GetIAMRoleDetails`
+ **GetIdentityStoreId**
Obtient l'ID de l'instance AWS IAM Identity Center associée au AWS compte.
+ **Obtenez IDCUser**
Obtient l'ID utilisateur de l'utilisateur cible de l'Identity Center à l'aide de l'identifiant Identity Store.
+ **Rassemblez IDCUser les détails**
Obtient et stocke la configuration de l'utilisateur cible d'Identity Center, y compris les attributions de comptes, les ensembles d'autorisations associés et les politiques intégrées.
+ **Mises à jour 3 KeyFor IDCUser**
Met à jour la variable d'automatisation « S3Key » à partir de la sortie de l'étape. `GatherIDCUserDetails`
+ **BranchOnIdentityContain**
Branche l'automatisation en fonction de la valeur `DryRun` et du type principal IAM de l'`Contain`action.
+ **BranchOnDisableAccessKeys**
Branche l'automatisation en fonction du fait que l'utilisateur IAM possède ou non des clés d'accès devant être désactivées.
+ **DisableAccessKeys**
Désactive les clés d'accès utilisateur IAM actives.
+ **BranchOnDisableConsoleAccess**
Branches selon que l'utilisateur IAM a activé ou non l'accès à la console de AWS gestion.
+ **DisableConsoleAccess**
Supprime l'accès par mot de passe de l'utilisateur IAM à la console de gestion. AWS
+ **AttachInlineDenyPolicyToUser**
Attache une politique de refus à l'utilisateur IAM afin de révoquer les autorisations pour les anciens jetons de session.
+ **AttachInlineDenyPolicyToRole**
Attache une politique de refus au rôle IAM afin de révoquer les autorisations pour les anciens jetons de session.
+ **RemovePermissionSets**
Supprime les ensembles d'autorisations associés à l'utilisateur Identity Center.
+ **Supprimer IDCUser de IDCGroups**
Supprime l'utilisateur Identity Center des groupes Identity Center.
+ **AttachInlineDenyPolicyToPermissionSet**
Attache une politique de refus aux ensembles d'autorisations associés à l'utilisateur d'Identity Center.
+ **BranchOnReactivateKeys**
Branche l'automatisation en fonction du `ActivateDisabledKeys` paramètre pendant le processus de restauration.
+ **DetachInlineDenyPolicy**
Supprime la politique de refus attachée au rôle IAM pendant le processus de confinement.
+ **DetachInlineDenyPolicyFromPermissionSet**
Supprime la politique de refus attachée aux ensembles d'autorisations pendant le processus de confinement.
+ **ReportContain**
Affiche des informations détaillées sur les actions de confinement qui seraient effectuées lorsque ce paramètre `DryRun` est défini sur. `True`
+ **ReportRestore**
Affiche des informations détaillées sur les actions de restauration qui seraient effectuées lorsque ce `DryRun` paramètre est défini sur`True`.
+ **ReportContainFailure**
Fournit des instructions complètes pour restaurer manuellement la configuration d'origine du principal IAM lors d'un scénario d'échec du flux de travail de confinement.
+ **ReportRestoreFailure**
Fournit des instructions détaillées pour terminer manuellement la restauration de la configuration d'origine du principal IAM lors d'un scénario d'échec du flux de restauration.
1. Une fois l'exécution terminée, consultez la section Sorties pour obtenir les résultats détaillés de l'exécution :
+ **Contenir IAMPrincipal .Output**
Fournit des informations détaillées sur les actions de confinement effectuées lorsque Action est définie sur Contenir et DryRun False. Inclut des informations sur l'emplacement de sauvegarde, les politiques de refus appliquées et les configurations modifiées.
+ **Restaurer IAMPrincipal .Output**
Fournit des informations détaillées sur les actions de restauration effectuées lorsque Action est définie sur Restaurer et DryRun est définie sur False. Inclut des informations sur les configurations restaurées et les éventuels problèmes rencontrés lors de la restauration.
+ **ReportContain.Sortie**
Affiche des informations détaillées sur les actions de confinement qui seraient effectuées lorsque Action est définie sur Contain et DryRun définie sur True. Inclut une comparaison des configurations actuelles et post-confinement.
+ **ReportRestore.Sortie**
Affiche des informations détaillées sur les actions de restauration qui seraient effectuées lorsque Action est définie sur Restore et DryRun est définie sur True. Affiche la configuration actuelle et la configuration d'origine qui serait restaurée.
+ **ReportContainFailure.Sortie**
Fournit des instructions complètes pour restaurer manuellement la configuration d'origine du principal IAM lors d'un scénario d'échec du flux de travail de confinement.
+ **ReportRestoreFailure.Sortie**
Fournit des instructions détaillées pour terminer manuellement la restauration de la configuration d'origine du principal IAM lors d'un scénario d'échec du flux de restauration.
**Sorties**
Une fois l'exécution terminée, consultez la section Sorties pour obtenir les résultats détaillés :
+ **Contenir IAMPrincipal .Output**
Fournit des informations détaillées sur les actions de confinement effectuées lorsque Action est définie sur Contenir et DryRun False. Inclut des informations sur l'emplacement de sauvegarde, les politiques de refus appliquées et les configurations modifiées.
+ **Restaurer IAMPrincipal .Output**
Fournit des informations détaillées sur les actions de restauration effectuées lorsque Action est définie sur Restaurer et DryRun est définie sur False. Inclut des informations sur les configurations restaurées et les éventuels problèmes rencontrés lors de la restauration.
+ **ReportContain.Sortie**
Affiche des informations détaillées sur les actions de confinement qui seraient effectuées lorsque Action est définie sur Contain et DryRun définie sur True. Inclut une comparaison des configurations actuelles et post-confinement.
+ **ReportRestore.Sortie**
Affiche des informations détaillées sur les actions de restauration qui seraient effectuées lorsque Action est définie sur Restore et DryRun est définie sur True. Affiche la configuration actuelle et la configuration d'origine qui serait restaurée.
+ **ReportContainFailure.Sortie**
Fournit des instructions complètes pour restaurer manuellement la configuration d'origine du principal IAM lors d'un scénario d'échec du flux de travail de confinement.
+ **ReportRestoreFailure.Sortie**
Fournit des instructions détaillées pour terminer manuellement la restauration de la configuration d'origine du principal IAM lors d'un scénario d'échec du flux de restauration.
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ContainIAMPrincipal)
+ [Exécution d'une automatisation simple](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration de l'automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Support des flux de travail automatisés](https://aws.amazon.com/premiumsupport/technology/saw/)
# `AWSSupport-TroubleshootSAMLIssues`
**Description**
Le manuel **AWSSupport-TroubleshootSAMLIssues **d'automatisation permet de diagnostiquer les problèmes liés au langage SAML (Security Assertion Markup Language) en analysant les fichiers de réponses SAML stockés dans Amazon Simple Storage Service (Amazon S3). Il effectue une validation complète, y compris la vérification du schéma, la validation des signatures, la vérification des restrictions d'audience et la vérification du délai d'expiration. Le runbook décode et extrait les principaux éléments SAML, notamment l'émetteur, les assertions, le sujet, les conditions, les signatures et les attributs, de la réponse SAML. Pour les environnements dans lesquels le protocole SAML est utilisé pour accéder à AWS des ressources (comme Amazon Connect ou Amazon WorkSpaces Applications) par le biais d'un fournisseur d'identité IAM, il vérifie si les certificats contenus dans les signatures de réponse SAML correspondent aux certificats configurés dans le fournisseur d'identité IAM.
**Fonctionnement**
Le runbook exécute les étapes suivantes :
+ Valide le format de réponse SAML et les éléments requis.
+ Décode et extrait les composants de la réponse SAML (émetteur, assertions, sujet, conditions, signatures, attributs).
+ Vérifie les signatures numériques par rapport aux certificats du fournisseur d'identité IAM lorsqu'ils sont fournis.
+ Vérifie les restrictions d'audience et la validité temporelle.
+ Fournit des informations de diagnostic détaillées montrant la structure SAML analysée et les résultats de validation.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootSAMLIssues)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
/
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `s3:GetBucketLocation`
+ `s3:ListBucket`
+ `s3:GetBucketPublicAccessBlock`
+ `s3:GetAccountPublicAccessBlock`
+ `s3:GetObject`
+ `s3:GetBucketPolicyStatus`
+ `s3:GetEncryptionConfiguration`
+ `s3:GetBucketOwnershipControls`
+ `s3:GetBucketAcl`
+ `s3:GetBucketPolicy`
+ `s3:PutObject`
+ `iam:GetSAMLProvider`
+ `sts:AssumeRole`
Exemple de politique :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:GetBucketPublicAccessBlock",
"s3:GetAccountPublicAccessBlock",
"s3:GetObject",
"s3:GetBucketPolicyStatus",
"s3:GetEncryptionConfiguration",
"s3:GetBucketOwnershipControls",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:PutObject",
"iam:GetSAMLProvider",
"sts:AssumeRole"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Avant d'utiliser ce runbook, vous devez capturer et stocker une réponse SAML codée en Base64 (fichier txt) dans un compartiment S3. Les instructions pour capturer les réponses SAML se trouvent dans [ce document](https://docs.aws.amazon.com//IAM/latest/UserGuide/troubleshoot_saml_view-saml-response.html)
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootSAMLIssues/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootSAMLIssues/description)à Systems Manager sous Documents.
1. Sélectionnez **Execute automation** (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
+ Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à SSM Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Type : `AWS::IAM::Role::Arn`
+ **InputFileS3URI (obligatoire) :**
+ Description : (obligatoire) Amazon Simple Storage Service (Amazon S3) URI du fichier txt de réponse SAML (par exemple, s3://bucket name/path/to/file - .txt).
+ Type : Chaîne
+ Autoriser le modèle : `^s3://[a-z0-9][a-z0-9.-][a-z0-9](/.)?$`
+ **S3 OutputPrefix (facultatif) :**
+ Description : (Facultatif) Les fichiers de sortie d'analyse sont stockés dans le compartiment d'entrée sous le nom « saml\$1analysis\$1 .json ». Vous pouvez utiliser ce paramètre si vous souhaitez générer un fichier avec un préfixe spécifique. La valeur par défaut est « output/ », auquel cas l'URI du fichier qui affiche le résultat sera 's3://bucket - name/output/saml \$1analysis\$1 .json'.
+ Type : Chaîne
+ Autoriser le modèle : `^[a-zA-Z0-9+=,.@\\-_/]*/$`
+ **ExpectedAudience (Facultatif) :**
+ Description : (Facultatif) Valeur d'audience attendue dans la réponse SAML. Si ce n'est pas spécifié, nous utilisons`urn:amazon:webservices`. Si vous avez configuré une valeur d'audience spécifique dans votre configuration IdP et SP, veuillez fournir le format exact (par exemple,`urn:amazon:webservices`,`https://signin.aws.amazon.com/saml`).
+ Type : Chaîne
+ Par défaut : urn:amazon:webservices
+ **IamIdProviderArn (Facultatif) :**
+ Description : (Facultatif) Si vous utilisez une entité de fournisseur d'ID IAM pour lier directement votre IdP AWS à IAM, veuillez fournir son ARN (par exemple,). `arn:aws:iam:::saml-provider/`
+ Type : Chaîne
+ Autoriser le modèle : `^$|^arn:aws:iam::[0-9]{12}:saml-provider/[a-zA-Z0-9_-]+$`
+ **SAMLAuthenticationHeure (facultatif) :**
+ Description : (Facultatif) Date et heure auxquelles l'authentification SAML a été effectuée. Le fuseau horaire doit être UTC. Doit être au YYYY-MM-DDThh format:mm:ss (par exemple, 2025-02-01T 10:00:00). Si ce paramètre n'est pas fourni, les vérifications d'expiration seront effectuées par rapport à l'horodatage actuel.
+ Type : Chaîne
+ Autoriser le modèle : `^$|^\\d{4}-(?:0[1-9]|1[0-2])-(?:0[1-9]|[12]\\d|3[01])T(?:[01]\\d|2[0-3]):[0-5]\\d:[0-5]\\d$`
+ **S3 BucketOwnerRoleArn (facultatif) :**
+ Description : ARN du rôle IAM (facultatif) pour accéder aux compartiments Amazon S3. L'ARN du rôle IAM autorisé à obtenir les paramètres d'accès public au compartiment et au compte Amazon S3, à bloquer le compte, à configurer le chiffrement du compartiment, à connaître ACLs le statut de la politique du compartiment et à télécharger des objets dans le compartiment. Si ce paramètre n'est pas spécifié, le runbook utilise le fichier `AutomationAssumeRole` (si spécifié) ou l'utilisateur qui démarre ce runbook (si `AutomationAssumeRole` n'est pas spécifié).
+ Type : `AWS::IAM::Role::Arn`
1. Sélectionnez **Exécuter**.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **Valider IAMIDProvider**
Valide l'ARN du fournisseur d'ID IAM fourni en vérifiant s'il existe et s'il est accessible. Si aucun ARN n'est fourni, la validation est ignorée et l'étape se termine correctement.
+ **Chèques 3 BucketPublicStatus**
Vérifie si le compartiment Amazon S3 autorise les autorisations d'accès anonymes ou publiques en lecture ou en écriture. Si le bucket autorise ces autorisations, l'automatisation s'arrête à cette étape.
+ **Chèques 3 ObjectExistence**
Valide l'accès aux compartiments Amazon S3. Vérifie si le bucket et l'objet existent et si l'automatisation dispose des autorisations nécessaires pour lire depuis la source et écrire vers la destination.
+ **Analyser SAMLResponse**
Analyse le fichier de réponses SAML en effectuant les vérifications (validation du schéma, vérification des signatures, validation de l'audience, vérification de l'expiration). Génère un rapport JSON détaillé et l'enregistre à l'emplacement Amazon S3 spécifié.
1. Une fois terminé, consultez la section **Sorties** pour obtenir les résultats détaillés de l'exécution :
+ La section **Outputs** contient des informations sur l'objet Amazon S3 dans lequel les résultats de l'analyse sont décrits.
1. L'objet Amazon S3 figurant dans les résultats de l'analyse est un fichier Json contenant les informations suivantes :
+ **validation\$1result** : contient les résultats de validation de base de la réponse SAML.
+ **saml\$1info : informations** SAML clés, notamment l'émetteur, les signatures et les assertions.
+ **schema\$1validation** : résultats de la validation du schéma SAML.
+ **verification\$1result** : fournit des résultats de diagnostic plus détaillés.
+ **signature** : résultats de la vérification de signature.
+ **audience** : résultats de la validation des restrictions d'audience.
+ **expiration** : résultats de la vérification de l'heure d'expiration.
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootSAMLIssues)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
# Détection et réponse aux incidents
AWS Systems Manager L'automatisation fournit des runbooks prédéfinis pour la détection et la réponse aux AWS incidents. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSPremiumSupport-OnboardWorkloadToIDR`](automation-awspremisumsupport-onboardworkloadtoidr.md)
# `AWSPremiumSupport-OnboardWorkloadToIDR`
**Description**
Le **AWSPremiumSupport-OnboardWorkloadToIDR**runbook aide les clients du support aux AWS entreprises à intégrer une charge de travail pour la surveillance et la gestion des incidents critiques à l'aide de la détection et de la réponse aux AWS incidents. Une charge de travail peut être définie comme un ensemble de AWS ressources associées à un groupe de AWS ressources ou à une AppRegistry application AWS Service Catalog. Si aucun groupe de AWS ressources ou aucune AppRegistry application AWS Service Catalog n'est spécifié, le runbook crée un groupe de ressources en votre nom à l'aide de filtres de balises ou de l'ID de AWS CloudFormation pile dont vous souhaitez inclure les ressources dans le groupe. Si vous définissez le paramètre sur`Yes`, `CreateApplicationInsights` l'automatisation approvisionne une CloudWatch application Amazon Application Insights à l'aide de AWS CloudFormation. CloudWatch Application Insights définit les métriques et les journaux recommandés pour les ressources d'application sélectionnées à l'aide CloudWatch des métriques, des journaux et des événements Amazon pour les notifications relatives aux problèmes détectés.
**Important**
Ce runbook exécute les actions suivantes dans votre compte en fonction des paramètres d'entrée fournis :
Crée un nouveau groupe de AWS ressources en utilisant AWS CloudFormation if `ResourceGroupName` or `AppRegistryApplication` not specified. Une fois la pile créée, le runbook essaie de définir la protection de terminaison.
Balise le groupe de AWS ressources associé à la charge de travail, y compris le `aws_idr` tag.
Crée une CloudWatch application basée sur un groupe de ressources Amazon Application Insights si le paramètre `CreateApplicationInsights` d'entrée est défini sur. `Yes` Une fois la pile créée, le runbook essaie de définir une protection de terminaison pour la pile.
Installe le rôle `AWSServiceRoleForHealth_EventProcessor` lié au service (SLR) pour permettre à Incident Detection and Response d'accéder à Incident Detection and Response pour l'ingestion des alertes si le paramètre `InstallServiceLinkedRole` d'entrée est défini sur. `Yes`
Crée un dossier d' AWS assistance avec AWS Incident Detection and Response.
**Important**
Pour utiliser ce manuel et accéder à AWS Incident Detection and Response, vous avez besoin d'un abonnement AWS Enterprise Support (payant) ou d'Unified Operations. Pour plus d'informations, voir [Comparer les Support forfaits](https://aws.amazon.com/premiumsupport/plans/).
**Fonctionnement**
Le runbook exécute les étapes de haut niveau suivantes :
+ Vérifie si le plan de Support du AWS compte actuel est Enterprise ; sinon, l'automatisation prend fin.
+ Détermine s'il faut utiliser un groupe de AWS ressources existant ou en créer un nouveau en fonction des paramètres fournis.
+ Si vous créez un nouveau groupe de ressources, génère un AWS CloudFormation modèle et crée la pile avec les balises appropriées.
+ Balise le groupe de ressources avec les balises de détection et de réponse aux AWS incidents requises.
+ Installe éventuellement le rôle lié au service pour la détection et la réponse aux AWS incidents.
+ Crée éventuellement une CloudWatch application Amazon Application Insights pour une surveillance améliorée.
+ Crée un dossier d' AWS assistance pour terminer le processus d'intégration.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-OnboardWorkloadToIDR)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
/
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `cloudformation:CreateStack`
+ `cloudformation:DescribeStackResource`
+ `cloudformation:DescribeStacks`
+ `cloudformation:UpdateTerminationProtection`
+ `iam:CreateServiceLinkedRole`
+ `resource-groups:CreateGroup`
+ `resource-groups:GetGroup`
+ `resource-groups:TagResource`
+ `servicecatalog-appregistry:GetApplication`
+ `support:CreateCase`
+ `support:DescribeSeverityLevels`
+ `support:DescribeServices`
+ `support:DescribeSupportLevel`
Exemple de politique :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStackResource",
"cloudformation:DescribeStacks",
"cloudformation:UpdateTerminationProtection",
"iam:CreateServiceLinkedRole",
"resource-groups:CreateGroup",
"resource-groups:GetGroup",
"resource-groups:TagResource",
"servicecatalog-appregistry:GetApplication",
"support:CreateCase",
"support:DescribeSeverityLevels",
"support:DescribeServices",
"support:DescribeSupportLevel"
],
"Resource": "*"
}
]
}
```
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSPremiumSupport-OnboardWorkloadToIDR/description](https://console.aws.amazon.com/systems-manager/documents/AWSPremiumSupport-OnboardWorkloadToIDR/description)à Systems Manager sous Documents.
1. Sélectionnez **Execute automation** (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
+ Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Type : `AWS::IAM::Role::Arn`
+ **WorkloadName (Obligatoire) :**
+ Description : (Obligatoire) Nom de la charge de travail. S'il n'`ResourceGroupName`est pas fourni, le nom de la charge de travail est utilisé pour configurer un nouveau groupe de AWS ressources portant ce nom`IDR-AWS-`.
+ Type : `String`
+ Autoriser le modèle : `^[a-zA-Z0-9_-]{1,128}$`
+ **WorkloadDescription (Obligatoire) :**
+ Description : (Obligatoire) Description de la charge de travail. Entrez une brève description pour détailler les cas d'utilisation de cette charge de travail. Veuillez inclure l'utilisateur final principal et la fonction de cette charge de travail.
+ Type : `String`
+ Autoriser le modèle : `^[a-zA-Z0-9.:;,-_&() ]{1,1024}$`
+ **AppRegistryApplication (Facultatif) :**
+ Description : (Facultatif) Le nom ou l'ID de l' AppRegistry application AWS Service Catalog. Si ce n'est pas le cas, vous devez fournir une entrée pour`ResourceGroupName`.
+ Type : `String`
+ Autoriser le modèle : `^$|^[a-zA-Z0-9.-_]{1,128}$`
+ Valeur par défaut : `""`
+ **ResourceGroupName (Facultatif) :**
+ Description : (Facultatif) Le nom d'un groupe de AWS ressources existant s'il n'`AppRegistryApplication`est pas fourni. Si vous souhaitez créer un groupe de ressources, vous devez fournir une entrée `TagFilters` et éventuellement `ResourceTypeFilters` créer un nouveau groupe de AWS ressources.
+ Type : `String`
+ Autoriser le modèle : `^$|^[a-zA-Z0-9_.-]{1,128}$`
+ Valeur par défaut : `""`
+ **TagFilters (Conditionnel) :**
+ Description : (Conditionnel) Liste des paires key/values (chaîne/liste de chaînes) qui sont comparées aux balises associées à vos AWS ressources. Ce paramètre est utilisé pour créer un nouveau groupe de AWS ressources si vous ne spécifiez aucun `ResourceGroupName` ou existant`AppRegistryApplication`.
+ Type : `StringMap`
+ **ResourceTypeFilters (Conditionnel) :**
+ Description : (Conditionnel) Liste des types de ressources pris en charge par Resource Groups.
+ Type : `StringList`
+ Nombre maximum d'articles : `10`
+ Valeur par défaut : `AWS::AllSupported`
+ **InstallServiceLinkedRole (Facultatif) :**
+ Description : (Facultatif) Sélectionnez cette option `Yes` pour installer le rôle `AWSServiceRoleForHealth_EventProcessor` lié au service (SLR).
+ Type : `String`
+ Valeurs autorisées : `[Yes,No]`
+ Valeur par défaut : `No`
+ **CreateApplicationInsights (Facultatif) :**
+ Description : (Facultatif) Sélectionnez cette option `Yes` pour créer une CloudWatch application basée sur un groupe de ressources Amazon Application Insights.
+ Type : `String`
+ Valeurs autorisées : `[Yes,No]`
+ Valeur par défaut : `No`
+ **ComplianceAndRegulatoryRequirements (Obligatoire) :**
+ Description : (Obligatoire) Exigences and/or réglementaires de conformité applicables à cette charge de travail et à toute action requise AWS après un incident.
+ Type : `String`
+ Autoriser le modèle : `^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$`
+ **Non AWSComponents (facultatif) :**
+ Description : (Facultatif) Précisez les AWS composants sur site ou non pour cette charge de travail ? Dans l'affirmative, quels sont-ils et quelles fonctions remplissent-ils ?
+ Type : `String`
+ Autoriser le modèle : `^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$`
+ Valeur par défaut : `""`
+ **UpstreamDownstreamDependencies (Facultatif) :**
+ Description : (Facultatif) Détails des upstream/downstream composants non intégrés, susceptibles d'affecter cette charge de travail en cas de panne.
+ Type : `String`
+ Autoriser le modèle : `^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$`
+ Valeur par défaut : `""`
+ **FailoverDisasterRecoveryPlan (Facultatif) :**
+ Description : (Facultatif) Fournissez les détails de tout plan de failover/disaster reprise manuel ou automatisé au niveau de l'AZ et de la région.
+ Type : `String`
+ Autoriser le modèle : `^$|^[a-zA-Z0-9.:;,\\-_&() ]{1,1024}$`
+ Valeur par défaut : `""`
+ **BridgeDetails (Facultatif) :**
+ Description : (Facultatif) Le pont incident/crisis de gestion statique établi par votre entreprise. Si vous utilisez un pont non statique, spécifiez votre application préférée et AWS vous demanderez ces informations lors d'un incident.
+ Type : `String`
+ Valeurs autorisées : `[Amazon Chime bridge, Non-Static bridge, Static bridge]`
+ Valeur par défaut : `Amazon Chime bridge`
+ **SubscriptionStartDate (Obligatoire) :**
+ Description : (Obligatoire) Date au `YYYY-MM-DD` format à laquelle vous souhaitez commencer votre abonnement à la détection et à la réponse aux AWS incidents.
+ Type : `String`
+ Autoriser le modèle : `^(202[4-9]|20[3-9][0-9])-(0[1-9]|1[0-2])-(0[1-9]|[12][0-9]|3[01])$`
1. Sélectionnez **Exécuter**.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **Vérifiez le AWSSupport plan** :
Vérifie si le plan de Support du AWS compte actuel est Enterprise ; sinon, l'automatisation prend fin.
+ **BranchOnResourceGroup**:
Branche l'automatisation sur la question de savoir si un groupe de AWS ressources existant a été fourni. Si ce n'est pas le cas, l'automatisation crée un nouveau groupe de AWS ressources.
+ **GetAppRegistryApplication**:
Obtient les informations de métadonnées relatives à l' AppRegistry application AWS Service Catalog si elles sont fournies.
+ **GenerateResourceGroupTemplate**:
Génère un AWS CloudFormation modèle pour le groupe de AWS ressources avec les filtres de balises spécifiés.
+ **CreateResourceGroup**:
Crée un nouveau groupe de AWS ressources en utilisant AWS CloudFormation.
+ **TagResourceGroup**:
Balise le groupe de ressources avec les balises requises pour la détection et la réponse aux AWS incidents (IDR).
+ **InstallServiceLinkedRole**:
Installe le rôle AWS lié au service IDR (Incident Detection and Response) si demandé.
+ **CreateApplicationInsightsApplication**:
Crée une CloudWatch application Amazon Application Insights sur demande.
+ **CreateAwsSupportCase**:
Crée un dossier d' AWS assistance avec AWS Incident Detection and Response.
1. Une fois l'exécution terminée, consultez la section **Sorties** pour connaître les résultats détaillés de l'exécution.
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSPremiumSupport-OnboardWorkloadToIDR/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Support des flux de travail automatisés](https://aws.amazon.com/premiumsupport/technology/saw/)
+ [Commencez avec la détection et la réponse aux AWS incidents](https://docs.aws.amazon.com//IDR/latest/userguide/getting-started-idr.html)
+ [Découverte de la charge de travail dans la détection et la réponse aux incidents](https://docs.aws.amazon.com//IDR/latest/userguide/idr-gs-discovery.html)
# Amazon Kinesis Data Streams
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon Kinesis Data Streams. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-EnableKinesisStreamEncryption`](aws-enablekinesisstreamencryption.md)
# `AWS-EnableKinesisStreamEncryption`
**Description**
Le `AWS-EnableKinesisStreamEncryption` runbook permet le chiffrement sur un Amazon Kinesis Data Streams (Kinesis Data Streams). Les applications productrices écrivant dans un flux crypté rencontreront des erreurs si elles n'ont pas accès à la clé AWS Key Management Service (AWS KMS).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableKinesisStreamEncryption)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ KinesisStreamName
Type : String
Description : (Obligatoire) Le nom du flux sur lequel vous souhaitez activer le chiffrement.
+ KeyId
Type : String
Par défaut : alias/aws/kinesis
Description : (Obligatoire) La AWS KMS clé gérée par le client que vous souhaitez utiliser pour le chiffrement. Cette valeur peut être un identifiant unique global, un ARN associé à un alias ou à une clé, ou un nom d'alias préfixé par « alias/ ». Vous pouvez également utiliser la clé AWS gérée en utilisant la valeur par défaut du paramètre.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:GetAutomationExecution`
+ `ssm:StartAutomationExecution`
+ `kinesis:DescribeStream`
+ `kinesis:StartStreamEncryption`
+ `kms:DescribeKey`
**Étapes de document**
+ VerifyKinesisStreamStatus (`aws:waitforAwsResourceProperty`) - Vérifie l'état des Kinesis Data Streams.
+ EnableKinesisStreamEncryption (`aws:executeAwsApi`) - Active le chiffrement pour les Kinesis Data Streams.
+ VerifyKinesisStreamUpdateComplete (`aws:waitForAwsResourceProperty`) - Attend que le statut de Kinesis Data Streams revienne à. `ACTIVE`
+ VerifyKinesisStreamEncryption (`aws:assertAwsResourceProperty`) - Vérifie que le chiffrement est activé pour les Kinesis Data Streams.
# AWS KMS
AWS Systems Manager L'automatisation fournit des runbooks prédéfinis pour AWS Key Management Service. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSConfigRemediation-CancelKeyDeletion`](automation-aws-cancel-key-deletion.md)
+ [`AWSConfigRemediation-EnableKeyRotation`](automation-aws-enable-key-rotation.md)
# `AWSConfigRemediation-CancelKeyDeletion`
**Description**
Le `AWSConfigRemediation-CancelKeyDeletion` runbook annule la suppression de la clé gérée par le client AWS Key Management Service (AWS KMS) que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-CancelKeyDeletion)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ KeyId
Type : Chaîne
Description : (Obligatoire) L'ID de la clé gérée par le client dont vous souhaitez annuler la suppression.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `kms:CancelKeyDeletion`
+ `kms:DescribeKey`
**Étapes de document**
+ `aws:executeAwsApi`- Annule la suppression de la clé gérée par le client que vous avez spécifiée dans le `KeyId` paramètre.
+ `aws:assertAwsResourceProperty`- Confirme que la suppression des clés est désactivée sur votre clé gérée par le client.
# `AWSConfigRemediation-EnableKeyRotation`
**Description**
Le `AWSConfigRemediation-EnableKeyRotation` runbook permet la rotation automatique des clés pour la clé symétrique AWS Key Management Service (AWS KMS) gérée par le client.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableKeyRotation)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ KeyId
Type : Chaîne
Description : (Obligatoire) L'ID de la clé gérée par le client sur laquelle vous souhaitez activer la rotation automatique des clés.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `kms:EnableKeyRotation`
+ `kms:GetKeyRotationStatus`
**Étapes de document**
+ `aws:executeAwsApi`- Active la rotation automatique des clés sur la clé gérée par le client que vous spécifiez dans le `KeyId` paramètre.
+ `aws:assertAwsResourceProperty`- Confirme que la rotation automatique des clés est activée sur votre clé gérée par le client.
# Lambda
AWS Systems Manager L'automatisation fournit des runbooks prédéfinis pour AWS Lambda. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSConfigRemediation-ConfigureLambdaFunctionXRayTracing`](automation-aws-config-lambda-xray.md)
+ [`AWSConfigRemediation-DeleteLambdaFunction`](automation-aws-delete-lambda.md)
+ [`AWSConfigRemediation-EncryptLambdaEnvironmentVariablesWithCMK`](automation-aws-encrypt-lambda-variables.md)
+ [`AWSConfigRemediation-MoveLambdaToVPC`](automation-aws-lambda-to-vpc.md)
+ [`AWSSupport-RemediateLambdaS3Event`](automation-awssupport-remediatelambdas3event.md)
+ [`AWSSupport-TroubleshootLambdaInternetAccess`](AWSSupport-TroubleshootLambdaInternetAccess.md)
+ [`AWSSupport-TroubleshootLambdaS3Event`](automation-aws-troubleshootlambdas3event.md)
# `AWSConfigRemediation-ConfigureLambdaFunctionXRayTracing`
**Description**
Le `AWSConfigRemediation-ConfigureLambdaFunctionXRayTracing` runbook permet le suivi AWS X-Ray en direct de la AWS Lambda fonction que vous spécifiez dans le `FunctionName` paramètre.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-ConfigureLambdaFunctionXRayTracing)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ FunctionName
Type : Chaîne
Description : (Obligatoire) Nom ou ARN de la fonction Lambda sur laquelle activer le suivi.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `lambda:UpdateFunctionConfiguration`
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
**Étapes de document**
+ `aws:executeAwsApi`- Active le traçage X-Ray sur la fonction Lambda que vous spécifiez dans le `FunctionName` paramètre.
+ `aws:assertAwsResourceProperty`- Vérifie que le traçage X-Ray a été activé sur la fonction Lambda.
**Sorties**
UpdateLambdaConfig. UpdateFunctionConfigurationResponse - Réponse de l'appel `UpdateFunctionConfiguration` d'API.
# `AWSConfigRemediation-DeleteLambdaFunction`
**Description**
Le `AWSConfigRemediation-DeleteLambdaFunction` runbook supprime la AWS Lambda fonction que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteLambdaFunction)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ LambdaFunctionName
Type : Chaîne
Description : (Obligatoire) Nom de la fonction Lambda que vous souhaitez supprimer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `lambda:DeleteFunction`
+ `lambda:GetFunction`
**Étapes de document**
+ `aws:executeAwsApi`- Supprime la fonction Lambda spécifiée dans `LambdaFunctionName` le paramètre.
+ `aws:executeScript`- Vérifie que la fonction Lambda a été supprimée.
# `AWSConfigRemediation-EncryptLambdaEnvironmentVariablesWithCMK`
**Description**
Le `AWSConfigRemediation-EncryptLambdaEnvironmentVariablesWithCMK` runbook chiffre, au repos, les variables d'environnement de la fonction ( AWS Lambda Lambda) que vous spécifiez à l'aide d'une clé gérée par le client AWS Key Management Service (AWS KMS). Ce manuel d'exécution ne doit être utilisé que comme référence pour garantir que les variables d'environnement de votre fonction Lambda sont chiffrées conformément aux meilleures pratiques de sécurité minimales recommandées. Nous recommandons de chiffrer plusieurs fonctions avec différentes clés gérées par le client.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EncryptLambdaEnvironmentVariablesWithCMK)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ FunctionName
Type : Chaîne
Description : (Obligatoire) Le nom ou l'ARN de la fonction Lambda dont vous souhaitez chiffrer les variables d'environnement.
+ KMSKeyArn
Type : Chaîne
Description : (Obligatoire) L'ARN de la clé gérée par le AWS KMS client que vous souhaitez utiliser pour chiffrer les variables d'environnement de votre fonction Lambda.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `lambda:GetFunctionConfiguration `
+ `lambda:UpdateFunctionConfiguration`
**Étapes de document**
+ `aws:waitForAwsResourceProperty`- Il attend que la `LastUpdateStatus` propriété soit prête. `Successful`
+ `aws:executeAwsApi`- Chiffre les variables d'environnement pour la fonction Lambda que vous spécifiez dans `FunctionName` le paramètre à l'aide de la clé gérée par AWS KMS le client que vous spécifiez dans `KMSKeyArn` le paramètre.
+ `aws:assertAwsResourceProperty`- Confirme que le chiffrement est activé sur les variables d'environnement de votre fonction Lambda.
# `AWSConfigRemediation-MoveLambdaToVPC`
**Description**
Le `AWSConfigRemediation-MoveLambdaToVPC` runbook déplace une fonction AWS Lambda (Lambda) vers un Amazon Virtual Private Cloud (Amazon VPC).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-MoveLambdaToVPC)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ FunctionName
Type : Chaîne
Description : (Obligatoire) Nom de la fonction Lambda à déplacer vers un Amazon VPC.
+ SecurityGroupIds
Type : Chaîne
Description : (Obligatoire) Le groupe de sécurité que IDs vous souhaitez attribuer aux interfaces réseau élastiques (ENIs) associées à votre fonction Lambda.
+ SubnetIds
Type : Chaîne
Description : (Obligatoire) Le sous-réseau dans lequel IDs vous souhaitez créer les interfaces réseau élastiques (ENIs) associées à votre fonction Lambda.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `lambda:GetFunction`
+ `lambda:GetFunctionConfiguration`
+ `lambda:UpdateFunctionConfiguration`
**Étapes de document**
+ `aws:executeAwsApi`- Met à jour la configuration Amazon VPC pour la fonction Lambda que vous spécifiez dans le paramètre. `FunctionName`
+ `aws:waitForAwsResourceProperty`- Attend que la `LastUpdateStatus` fonction Lambda soit activée. `successful`
+ `aws:executeScript`- Vérifie que la configuration Amazon VPC de la fonction Lambda a été correctement mise à jour.
# `AWSSupport-RemediateLambdaS3Event`
**Description**
Le `AWSSupport-TroubleshootLambdaS3Event` runbook fournit une solution automatisée pour les procédures décrites dans les articles du centre de AWS connaissances. [Pourquoi ma notification d'événement Amazon S3 ne déclenche-t-elle pas ma fonction Lambda](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-configure-s3-event-notification/) ? et [pourquoi le message d'erreur « Impossible de valider les configurations de destination suivantes » s'affiche-t-il lorsque je crée une notification d'événement Amazon S3 pour déclencher ma fonction Lambda](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-invoke-error-s3-bucket-permission/) ? Ce runbook vous aide à identifier et à corriger pourquoi une notification d'événement Amazon Simple Storage Service (Amazon S3) n'a pas réussi à déclencher la fonction que vous avez spécifiée. AWS Lambda [Si la sortie du runbook suggère de valider et de configurer la simultanéité de votre fonction Lambda, consultez les sections Invocation [asynchrone](https://docs.aws.amazon.com/lambda/latest/dg/invocation-async.html) et Dimensionnement des fonctions.AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/scaling.html)
**Note**
Des erreurs « Impossible de valider les configurations de destination suivantes » peuvent également se produire en raison de configurations d'événements Amazon Simple Notification Service (Amazon SNS) et Amazon Simple Queue Service (Amazon SQS) Amazon S3 incorrectes. Ce runbook vérifie uniquement les configurations des fonctions Lambda. Si, après avoir utilisé le runbook, vous recevez toujours le message d'erreur « Impossible de valider les configurations de destination suivantes », veuillez consulter toutes les configurations d'événements Amazon SNS et Amazon SQS Amazon S3 existantes.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-RemediateLambdaS3Event)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ LambdaFunctionArn
Type : Chaîne
Description : (Obligatoire) L'ARN de la fonction Lambda.
+ S3 BucketName
Type : Chaîne
Description : (Obligatoire) Le nom du compartiment Amazon S3 dont les notifications d'événements déclenchent la fonction Lambda.
+ Action
Type : Chaîne
Valeurs valides : Résoudre les problèmes \$1 Corriger
Description : (Obligatoire) L'action que vous souhaitez que le runbook exécute. L'`Troubleshoot`option permet d'identifier les problèmes, mais n'effectue aucune action de mutation pour résoudre le problème. `Remediate`Cette option permet d'identifier les problèmes et de tenter de les résoudre pour vous.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetDocument`
+ `ssm:ListDocuments`
+ `ssm:DescribeAutomationExecutions`
+ `ssm:DescribeAutomationStepExecutions`
+ `ssm:GetAutomationExecution`
+ `lambda:GetPolicy`
+ `lambda:AddPermission`
+ `s3:GetBucketNotification`
**Étapes de document**
+ `aws:branch`- Branches basées sur l'entrée spécifiée pour le `Action` paramètre.
Si la valeur spécifiée est `Troubleshoot` :
+ `aws:executeAutomation`- Exécute le `AWSSupport-TroubleshootLambdaS3Event` runbook.
+ `aws:executeAwsApi`- Vérifie le résultat du `AWSSupport-TroubleshootLambdaS3Event` runbook exécuté à l'étape précédente.
Si la valeur spécifiée est `Remediate` :
+ `aws:executeScript`- Exécute un script pour résoudre les problèmes décrits dans la section [Pourquoi ma notification d'événement Amazon S3 ne déclenche-t-elle pas ma fonction Lambda](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-configure-s3-event-notification/) ? et [pourquoi le message d'erreur « Impossible de valider les configurations de destination suivantes » s'affiche-t-il lorsque je crée une notification d'événement Amazon S3 pour déclencher ma fonction Lambda](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-invoke-error-s3-bucket-permission/) ? Articles du centre de connaissances.
**Sorties**
CheckOutput.Output
Corriger l'événement Lambdas3Output
# `AWSSupport-TroubleshootLambdaInternetAccess`
**Description**
Le `AWSSupport-TroubleshootLambdaInternetAccess` runbook vous aide à résoudre les problèmes d'accès à Internet liés à une AWS Lambda fonction lancée dans Amazon Virtual Private Cloud (Amazon VPC). Les ressources telles que les itinéraires de sous-réseau, les règles des groupes de sécurité et les règles de liste de contrôle d'accès réseau (ACL) sont examinées pour confirmer que l'accès Internet sortant est autorisé.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootLambdaInternetAccess)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ FunctionName
Type : Chaîne
Description : (Obligatoire) Nom de la fonction Lambda pour laquelle vous souhaitez résoudre les problèmes d'accès à Internet.
+ destinationIp
Type : Chaîne
Description : (Obligatoire) Adresse IP de destination à laquelle vous souhaitez établir une connexion sortante.
+ destinationPort
Type : Chaîne
Par défaut: 443
Description : (Facultatif) Le port de destination sur lequel vous souhaitez établir une connexion sortante.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `lambda:GetFunction`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeNatGateways`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeNetworkAcls`
**Étapes de document**
+ `aws:executeScript`- Vérifie la configuration des différentes ressources de votre VPC où la fonction Lambda a été lancée.
+ `aws:branch`- Branches basées sur le fait que la fonction Lambda spécifiée se trouve dans un VPC ou non.
+ `aws:executeScript`- Examine les routes de la table de routage pour le sous-réseau sur lequel la fonction Lambda a été lancée et vérifie que les routes menant à une passerelle de traduction d'adresses réseau (NAT) et à une passerelle Internet sont présentes. Confirme que la fonction Lambda ne se trouve pas dans un sous-réseau public.
+ `aws:executeScript`- Vérifie que le groupe de sécurité associé à la fonction Lambda autorise l'accès Internet sortant en fonction des valeurs spécifiées pour `destinationIp` les paramètres et. `destinationPort`
+ `aws:executeScript`- Vérifie les règles ACL associées aux sous-réseaux de la fonction Lambda et la passerelle NAT autorise l'accès Internet sortant en fonction des valeurs spécifiées pour les paramètres et. `destinationIp` `destinationPort`
**Sorties**
CheckVPC.vpc : ID du VPC sur lequel votre fonction Lambda a été lancée.
CheckVPC.subnet - Le IDs sous-réseau sur lequel votre fonction Lambda a été lancée.
CheckVPC.SecurityGroups - Groupes de sécurité associés à la fonction Lambda.
Checknacl.nacl - Message d'analyse avec les noms des ressources. `LambdaIp`fait référence à l'adresse IP privée de l'interface elastic network de votre fonction Lambda. L'`LambdaIpRules`objet n'est généré que pour les sous-réseaux dotés d'une route vers une passerelle NAT. Le contenu suivant est un exemple de sortie.
```
{
"subnet-1234567890":{
"NACL":"acl-1234567890",
"destinationIp_Egress":"Allowed",
"destinationIp_Ingress":"notAllowed",
"Analysis":"This NACL has an allow rule for Egress traffic but there is no Ingress rule. Please allow the destination IP / destionation port in Ingress rule",
"LambdaIpRules":{
"{LambdaIp}":{
"Egress":"notAllowed",
"Ingress":"notAllowed",
"Analysis":"This is a NAT subnet NACL. It does not have ingress or egress rule allowed in it for Lambda's corresponding private ip {LambdaIp} Please allow this IP in your egress and ingress NACL rules"
}
}
},
"subnet-0987654321":{
"NACL":"acl-0987654321",
"destinationIp_Egress":"Allowed",
"destinationIp_Ingress":"notAllowed",
"Analysis":"This NACL has an allow rule for Egress traffic but there is no Ingress rule. Please allow the destination IP / destionation port in Ingress rule"
}
}
```
checkSecurityGroups.secgrps : analyse du groupe de sécurité associé à votre fonction Lambda. Le contenu suivant est un exemple de sortie.
```
{
"sg-123456789":{
"Status":"Allowed",
"Analysis":"This security group has allowed destintion IP and port in its outbuond rule."
}
}
```
Checksubnet.subnets - Analyse des sous-réseaux de votre VPC associés à votre fonction Lambda. Le contenu suivant est un exemple de sortie.
```
{
"subnet-0c4ee6cdexample15":{
"Route":{
"DestinationCidrBlock":"8.8.8.0/26",
"NatGatewayId":"nat-00f0example69fdec",
"Origin":"CreateRoute",
"State":"active"
},
"Analysis":"This Route Table has an active NAT gateway path. Also, The NAT gateway is launched in public subnet",
"RouteTable":"rtb-0b1fexample16961b"
}
}
```
# `AWSSupport-TroubleshootLambdaS3Event`
**Description**
Le `AWSSupport-TroubleshootLambdaS3Event` runbook fournit une solution automatisée pour les procédures décrites dans les articles du centre de AWS connaissances. [Pourquoi ma notification d'événement Amazon S3 ne déclenche-t-elle pas ma fonction Lambda](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-configure-s3-event-notification/) ? et [pourquoi le message d'erreur « Impossible de valider les configurations de destination suivantes » s'affiche-t-il lorsque je crée une notification d'événement Amazon S3 pour déclencher ma fonction Lambda](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-invoke-error-s3-bucket-permission/) ? Ce runbook vous aide à identifier pourquoi une notification d'événement Amazon Simple Storage Service (Amazon S3) n'a pas réussi à déclencher AWS Lambda la fonction que vous avez spécifiée. [Si la sortie du runbook suggère de valider et de configurer la simultanéité de votre fonction Lambda, consultez les sections Invocation [asynchrone](https://docs.aws.amazon.com/lambda/latest/dg/invocation-async.html) et Dimensionnement des fonctions.AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/scaling.html)
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootLambdaS3Event)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ LambdaFunctionArn
Type : Chaîne
Description : (Obligatoire) L'ARN de la fonction Lambda déclenchée par la notification d'événement Amazon S3.
+ S3 BucketName
Type : Chaîne
Description : (Obligatoire) Le nom du compartiment Amazon S3 dont les notifications d'événements déclenchent la fonction Lambda.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `lambda:GetPolicy`
+ `s3:GetBucketNotification`
**Étapes de document**
+ `aws:executeScript`- Exécute le script pour valider les paramètres de configuration pour la notification d'événement Amazon S3. Valide la politique IAM basée sur les ressources pour votre fonction Lambda et génère une commande AWS Command Line Interface (AWS CLI) pour ajouter les autorisations nécessaires si les autorisations requises ne figurent pas dans la politique. Valide les politiques de ressources des autres fonctions Lambda qui font partie des notifications d'événements pour le même compartiment S3 et génère AWS CLI une commande en sortie si les autorisations requises sont manquantes.
**Sorties**
Lambda S3 Event.output
# Amazon Managed Workflows for Apache Airflow
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon Managed Workflows pour Apache Airflow. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSSupport-TroubleshootMWAAEnvironmentCreation`](automation-troubleshoot-mwaa-environment-creation.md)
# `AWSSupport-TroubleshootMWAAEnvironmentCreation`
**Description**
Le `AWSSupport-TroubleshootMWAAEnvironmentCreation` runbook fournit des informations pour résoudre les problèmes liés à la création de l'environnement Amazon Managed Workflows for Apache Airflow (Amazon MWAA), et pour effectuer des vérifications, accompagnées des raisons documentées, dans la mesure du possible pour identifier l'échec.
**Fonctionnement**
Le runbook exécute les étapes suivantes :
+ Récupère les détails de l'environnement Amazon MWAA.
+ Vérifie les autorisations du rôle d'exécution.
+ Vérifie si l'environnement est autorisé à utiliser la AWS KMS clé fournie pour la journalisation et si le groupe de CloudWatch journaux requis existe.
+ Analyse les journaux du groupe de journaux fourni pour détecter les erreurs éventuelles.
+ Vérifie la configuration réseau pour vérifier si l'environnement Amazon MWAA a accès aux points de terminaison requis.
+ Génère un rapport contenant les résultats.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootMWAAEnvironmentCreation)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
/
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `airflow:GetEnvironment`
+ `cloudtrail:LookupEvents`
+ `ec2:DescribeNatGateways`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcEndpoints`
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:GetRolePolicy`
+ `iam:ListAttachedRolePolicies`
+ `iam:ListRolePolicies`
+ `iam:SimulateCustomPolicy`
+ `kms:GetKeyPolicy`
+ `kms:ListAliases`
+ `logs:DescribeLogGroups`
+ `logs:FilterLogEvents`
+ `s3:GetBucketAcl`
+ `s3:GetBucketPolicyStatus`
+ `s3:GetPublicAccessBlock`
+ `s3control:GetPublicAccessBlock`
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootMWAAEnvironmentCreation/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootMWAAEnvironmentCreation/description)à Systems Manager sous Documents.
1. Sélectionnez Execute automation (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
Amazon Resource Name (ARN) du rôle AWS Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **EnvironmentName (Obligatoire) :**
Nom de l'environnement Amazon MWAA que vous souhaitez évaluer.
![\[Input parameters form with AutomationAssumeRole and EnvironmentName fields for AWS Systems Manager Automation.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-mwaa-environment-creation_input_parameters.png)
1. Sélectionnez Exécuter.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **`GetMWAAEnvironmentDetails:`**
Récupère les détails de l'environnement Amazon MWAA. Si cette étape échoue, le processus d'automatisation s'arrête et s'affiche comme`Failed`.
+ **`CheckIAMPermissionsOnExecutionRole:`**
Vérifie que le rôle d'exécution dispose des autorisations requises pour les ressources Amazon MWAA, Amazon S3 CloudWatch, CloudWatch Logs et Amazon SQS. S'il détecte une clé gérée par le client AWS Key Management Service (AWS KMS), l'automatisation valide les autorisations requises pour la clé. Cette étape utilise l'`iam:SimulateCustomPolicy`API pour déterminer si le rôle d'exécution de l'automatisation répond à toutes les autorisations requises.
+ **`CheckKMSPolicyOnKMSKey:`**
Vérifie si la politique en matière de AWS KMS clés autorise l'environnement Amazon MWAA à utiliser la clé pour chiffrer les journaux. CloudWatch Si la AWS KMS clé est AWS gérée, l'automatisation ignore cette vérification.
+ **`CheckIfRequiredLogGroupsExists:`**
Vérifie si les groupes de CloudWatch journaux requis pour l'environnement Amazon MWAA existent. Si ce n'est pas le cas, l'automatisation vérifie CloudTrail `CreateLogGroup` les `DeleteLogGroup` événements. Cette étape permet également de vérifier les `CreateLogGroup` événements.
+ **`BranchOnLogGroupsFindings:`**
Branches basées sur l'existence de groupes de CloudWatch journaux liés à l'environnement Amazon MWAA. S'il existe au moins un groupe de journaux, l'automatisation l'analyse pour localiser les erreurs. Si aucun groupe de journaux n'est présent, l'automatisation ignore l'étape suivante.
+ **`CheckForErrorsInLogGroups:`**
Analyse les groupes de CloudWatch journaux pour localiser les erreurs.
+ **`GetRequiredEndPointsDetails:`**
Récupère les points de terminaison de service utilisés par l'environnement Amazon MWAA.
+ **`CheckNetworkConfiguration:`**
Vérifie que la configuration réseau de l'environnement Amazon MWAA répond aux exigences, notamment en vérifiant les configurations des groupes de sécurité, du réseau ACLs, des sous-réseaux et des tables de routage.
+ **`CheckEndpointsConnectivity:`**
Invoque l'automatisation `AWSSupport-ConnectivityTroubleshooter` secondaire pour valider la connectivité de l'Amazon MWAA aux points de terminaison requis.
+ **`CheckS3BlockPublicAccess:`**
Vérifie si le compartiment Amazon S3 de l'environnement Amazon MWAA est `Block Public Access` activé et passe également en revue les paramètres généraux de blocage de l'accès public à Amazon S3 du compte.
+ **`GenerateReport:`**
Collecte les informations issues de l'automatisation et imprime le résultat ou la sortie de chaque étape.
1. Une fois terminé, consultez la section Sorties pour obtenir les résultats détaillés de l'exécution :
+ **Vérification des autorisations du rôle d'exécution de l'environnement Amazon MWAA :**
Vérifie si le rôle d'exécution dispose des autorisations requises pour les ressources Amazon MWAA, Amazon S3 CloudWatch, CloudWatch Logs et Amazon SQS. Si une AWS KMS clé gérée par le client est détectée, l'automatisation valide les autorisations requises pour la clé.
+ **Vérification de la politique AWS KMS clé de l'environnement Amazon MWAA :**
Vérifie si le rôle d'exécution possède les autorisations nécessaires pour les ressources Amazon MWAA, Amazon S3 CloudWatch, CloudWatch Logs et Amazon SQS. De plus, si une AWS KMS clé gérée par le client est détectée, l'automatisation vérifie les autorisations requises pour la clé.
+ **Vérification des groupes de CloudWatch journaux de l'environnement Amazon MWAA :**
Vérifie si les groupes de CloudWatch journaux requis pour l'environnement Amazon MWAA existent. Si ce n'est pas le cas, l'automatisation vérifie ensuite CloudTrail la localisation `CreateLogGroup` et les `DeleteLogGroup` événements.
+ **Vérification des tables de routage de l'environnement Amazon MWAA :**
Vérifie si les tables de routage Amazon VPC dans l'environnement Amazon MWAA sont correctement configurées.
+ **Vérification des groupes de sécurité de l'environnement Amazon MWAA :**
Vérifie si les groupes de sécurité Amazon VPC de l'environnement Amazon MWAA sont correctement configurés.
+ **Vérification du réseau ACLs de l'environnement Amazon MWAA :**
Vérifie si les groupes de sécurité Amazon VPC dans l'environnement Amazon MWAA sont correctement configurés.
+ **Vérification des sous-réseaux de l'environnement Amazon MWAA :**
Vérifie si les sous-réseaux de l'environnement Amazon MWAA sont privés.
+ **La vérification de l'environnement Amazon MWAA nécessitait la connectivité des points de terminaison :**
Vérifie si l'environnement Amazon MWAA peut accéder aux points de terminaison requis. À cette fin, l'automatisation invoque l'`AWSSupport-ConnectivityTroubleshooter`automatisation.
+ **Vérification du compartiment Amazon S3 de l'environnement Amazon MWAA :**
Vérifie si le compartiment Amazon S3 de l'environnement Amazon MWAA est `Block Public Access` activé et passe également en revue les paramètres de blocage de l'accès public à Amazon S3 du compte.
+ **La vérification de l'environnement Amazon MWAA CloudWatch enregistre les erreurs des groupes :**
Analyse les groupes de CloudWatch journaux existants de l'environnement Amazon MWAA pour localiser les erreurs.
![\[Troubleshooting report for MMAA environment showing successful checks and connectivity tests.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-mwaa-environment-creation_outputs.png)
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootMWAAEnvironmentCreation/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
# Neptune
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon Neptune. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-EnableNeptuneDbAuditLogsToCloudWatch`](AWS-EnableNeptuneDbAuditLogsToCloudWatch.md)
+ [`AWS-EnableNeptuneDbBackupRetentionPeriod`](AWS-EnableNeptuneDbBackupRetentionPeriod.md)
+ [`AWS-EnableNeptuneClusterDeletionProtection`](AWS-EnableNeptuneClusterDeletionProtection.md)
# `AWS-EnableNeptuneDbAuditLogsToCloudWatch`
**Description**
Le `AWS-EnableNeptuneDbAuditLogsToCloudWatch` runbook vous permet d'envoyer les journaux d'audit d'un cluster de base de données Amazon Neptune à Amazon CloudWatch Logs.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableNeptuneDbAuditLogsToCloudWatch)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ DbClusterResourceId
Type : String
Description : (Obligatoire) L'ID de ressource du cluster de base de données Neptune pour lequel vous souhaitez activer les journaux d'audit.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:GetAutomationExecution`
+ `ssm:StartAutomationExecution`
+ `neptune:DescribeDBCluster`
+ `neptune:ModifyDBCluster`
+ `rds:DescribeDBClusters`
+ `rds:ModifyDBCluster`
**Étapes de document**
+ GetNeptuneDbClusterIdentifier (`aws:executeAwsApi`) - Renvoie l'ID du cluster de base de données Neptune.
+ VerifyNeptuneDbEngine (`aws:assertAwsResourceProperty`) - Vérifie que le type de moteur de base de données Neptune est. `neptune`
+ EnableNeptuneDbAuditLogs (`aws:executeAwsApi`) - Permet d'envoyer CloudWatch des journaux d'audit pour le cluster de base de données Neptune.
+ VerifyNeptuneDbStatus (`aws:waitAwsResourceProperty`) - Vérifie que l'état du cluster de base de données Neptune est. `available`
+ VerifyNeptuneDbAuditLogs (`aws:executeScript`) - Vérifie que les journaux d'audit ont été correctement configurés pour être envoyés à CloudWatch Logs.
# `AWS-EnableNeptuneDbBackupRetentionPeriod`
**Description**
Le `AWS-EnableNeptuneDbBackupRetentionPeriod` runbook vous aide à activer les sauvegardes automatisées avec une période de conservation des sauvegardes comprise entre 7 et 35 jours pour un cluster de base de données Amazon Neptune.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableNeptuneDbBackupRetentionPeriod)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ DbClusterResourceId
Type : String
Description : (Obligatoire) L'ID de ressource du cluster de base de données Neptune pour lequel vous souhaitez activer les sauvegardes.
+ BackupRetentionPeriod
Type : entier
Valeurs valides : 7-35
Description : (Obligatoire) Nombre de jours pendant lesquels les sauvegardes sont conservées.
+ PreferredBackupWindow
Type : String
Description : (Facultatif) Période quotidienne d'au moins 30 minutes pendant laquelle les sauvegardes sont effectuées. La valeur doit être en temps universel coordonné (UTC) et utiliser le format :`hh24:mm-hh24:mm`. La période de conservation des sauvegardes ne doit pas entrer en conflit avec la fenêtre de maintenance préférée.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:GetAutomationExecution`
+ `ssm:StartAutomationExecution`
+ `neptune:DescribeDBCluster`
+ `neptune:ModifyDBCluster`
+ `rds:DescribeDBClusters`
+ `rds:ModifyDBCluster`
**Étapes de document**
+ GetNeptuneDbClusterIdentifier (`aws:executeAwsApi`) - Renvoie l'ID du cluster de base de données Neptune.
+ VerifyNeptuneDbEngine (`aws:assertAwsResourceProperty`) - Vérifie que le type de moteur de base de données Neptune est. `neptune`
+ VerifyNeptuneDbStatus (`aws:waitAwsResourceProperty`) - Vérifie que l'état du cluster de base de données Neptune est. `available`
+ ModifyNeptuneDbRetentionPeriod (`aws:executeAwsApi`) - Définit la période de rétention pour le cluster de base de données Neptune.
+ VerifyNeptuneDbBackupsEnabled (`aws:executeScript`) - Vérifie que la période de rétention et la fenêtre de sauvegarde ont été correctement définies.
# `AWS-EnableNeptuneClusterDeletionProtection`
**Description**
Le `AWS-EnableNeptuneClusterDeletionProtection` runbook active la protection contre la suppression pour le cluster Amazon Neptune que vous spécifiez.
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ DbClusterResourceId
Type : String
Description : (Obligatoire) L'ID du cluster Neptune sur lequel vous souhaitez activer la protection contre les suppressions.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:GetAutomationExecution`
+ `ssm:StartAutomationExecution`
+ `neptune:DescribeDBCluster`
+ `neptune:ModifyDBCluster`
+ `rds:DescribeDBClusters`
+ `rds:ModifyDBCluster`
**Étapes de document**
+ GetNeptuneDbClusterIdentifier (`aws:executeAwsApi`) - Renvoie l'ID du cluster de base de données Neptune.
+ VerifyNeptuneDbEngine (`aws:assertAwsResourceProperty`) - Vérifie que le type de moteur du cluster de base de données spécifié est`neptune`.
+ VerifyNeptuneStatus (`aws:waitForAwsResourceProperty`) - Vérifie que l'état du cluster est`available`.
+ EnableNeptuneDbDeletionProtection (`aws:executeAwsApi`) - Active la protection contre les suppressions sur le cluster de base de données Neptune.
+ VerifyNeptuneDbDeletionProtection (`aws:assertAwsResourceProperty`) - Vérifie que la protection contre la suppression est activée sur le cluster de base de données.
**Sorties**
+ EnableNeptuneDbDeletionProtection. EnableNeptuneDbDeletionProtectionResponse - Le résultat de l'opération API.
# Amazon RDS
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon Relational Database Service. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-CreateEncryptedRdsSnapshot`](create-encrypted-rds-snapshot.md)
+ [`AWS-CreateRdsSnapshot`](automation-aws-createrdssnapshot.md)
+ [`AWSConfigRemediation-DeleteRDSCluster`](automation-aws-delete-rds-cluster.md)
+ [`AWSConfigRemediation-DeleteRDSClusterSnapshot`](automation-aws-delete-rds-cluster-snap.md)
+ [`AWSConfigRemediation-DeleteRDSInstance`](automation-aws-delete-rds-instance.md)
+ [`AWSConfigRemediation-DeleteRDSInstanceSnapshot`](automation-aws-delete-rds-snapshot.md)
+ [`AWSConfigRemediation-DisablePublicAccessToRDSInstance`](automation-aws-disable-rds-instance-public-access.md)
+ [`AWSConfigRemediation-EnableCopyTagsToSnapshotOnRDSCluster`](automation-aws-enable-tags-snapshot-rds-cluster.md)
+ [`AWSConfigRemediation-EnableCopyTagsToSnapshotOnRDSDBInstance`](automation-aws-enable-tags-snapshot-rds-instance.md)
+ [`AWSConfigRemediation-EnableEnhancedMonitoringOnRDSInstance`](automation-aws-enable-rds-monitoring.md)
+ [`AWSConfigRemediation-EnableMinorVersionUpgradeOnRDSDBInstance`](automation-aws-enable-rds-minor-version.md)
+ [`AWSConfigRemediation-EnableMultiAZOnRDSInstance`](automation-aws-multi-az-rds.md)
+ [`AWSConfigRemediation-EnablePerformanceInsightsOnRDSInstance`](automation-aws-enable-performance-insights-rds.md)
+ [`AWSConfigRemediation-EnableRDSClusterDeletionProtection`](automation-aws-enable-rds-cluster-deletion-protection.md)
+ [`AWSConfigRemediation-EnableRDSInstanceBackup`](automation-aws-enable-rds-instance-backup.md)
+ [`AWSConfigRemediation-EnableRDSInstanceDeletionProtection`](automation-aws-enable-rds-instance-deletion-protection.md)
+ [`AWSConfigRemediation-ModifyRDSInstancePortNumber`](automation-aws-modify-rds-port.md)
+ [`AWSSupport-ModifyRDSSnapshotPermission`](automation-awssupport-modifyrdssnapshotpermission.md)
+ [`AWSPremiumSupport-PostgreSQLWorkloadReview`](automation-aws-postgresqlworkloadreview.md)
+ [`AWS-RebootRdsInstance`](automation-aws-rebootrdsinstance.md)
+ [`AWSSupport-ShareRDSSnapshot`](automation-aws-sharerdssnapshot.md)
+ [`AWS-StartRdsInstance`](automation-aws-startrdsinstance.md)
+ [`AWS-StartStopAuroraCluster`](start-stop-aurora-cluster.md)
+ [`AWS-StopRdsInstance`](automation-aws-stoprdsinstance.md)
+ [`AWSSupport-TroubleshootConnectivityToRDS`](automation-awssupport-troubleshootconnectivitytords.md)
+ [`AWSSupport-TroubleshootRDSIAMAuthentication`](automation-aws-troubleshoot-rds-iam-authentication.md)
+ [`AWSSupport-ValidateRdsNetworkConfiguration`](automation-aws-validate-rds-network-configuration.md)
# `AWS-CreateEncryptedRdsSnapshot`
**Description**
Le `AWS-CreateEncryptedRdsSnapshot` runbook crée un instantané chiffré à partir d'une instance non chiffrée d'Amazon Relational Database Service (Amazon RDS).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CreateEncryptedRdsSnapshot)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ DBInstanceIdentifiant
Type : Chaîne
Description : (Obligatoire) L'ID de l'instance Amazon RDS dont vous souhaitez créer un instantané.
+ DBSnapshotIdentifiant
Type : Chaîne
Description : (Facultatif) Modèle de nom pour l'instantané Amazon RDS. Le modèle de nom par défaut est*DBInstanceIdentifier-yyyymmddhhmmss*.
+ DBSnapshotIdentifiant crypté
Type : Chaîne
Description : (Facultatif) Nom du cliché chiffré. Le nom par défaut est la valeur que vous spécifiez pour le `DBSnapshotIdentifier` paramètre ajouté. `-encrypted`
+ InstanceTags
Type : Chaîne
Description : (Facultatif) Tags à ajouter à l'instance de base de données. (Exemple : key=tagkey1, value=tagvalue1 ; key=tagkey2, value=tagValue2) '
+ KmsKeyId
Type : Chaîne
Valeur par défaut : `alias/aws/rds`
Description : (Facultatif) L'ARN, l'ID de clé ou l'alias de clé de la clé gérée par le client que vous souhaitez utiliser pour chiffrer l'instantané.
+ SnapshotTags
Type : Chaîne
Description : (Facultatif) Balises à ajouter à l'instantané. (Exemple : key=tagkey1, value=tagvalue1 ; key=tagkey2, value=tagValue2) '
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `rds:AddTagsToResource`
+ `rds:CopyDBSnapshot`
+ `rds:CreateDBSnapshot`
+ `rds:DeleteDBSnapshot`
+ `rds:DescribeDBSnapshots`
**Étapes de document**
+ `aws:executeScript`- Crée un instantané de l'instance de base de données que vous spécifiez dans le `DBInstanceIdentifier` paramètre.
+ `aws:executeScript`- Vérifie que l'instantané créé à l'étape précédente existe et existe`available`.
+ `aws:executeScript`- Copie le cliché créé précédemment dans un instantané chiffré.
+ `aws:executeScript`- Vérifie que l'instantané chiffré créé à l'étape précédente existe.
**Sorties**
CopyRdsSnapshotToEncryptedRdsSnapshot. EncryptedSnapshotId - L'ID de l'instantané Amazon RDS chiffré.
# `AWS-CreateRdsSnapshot`
**Description**
Créez un instantané Amazon Relational Database Service (Amazon RDS) pour une instance Amazon RDS.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CreateRdsSnapshot)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ DBInstanceIdentifiant
Type : Chaîne
Description : (Obligatoire) L' DBInstanceID de l'instance RDS à partir de laquelle créer un instantané.
+ DBSnapshotIdentifiant
Type : Chaîne
Description : (Facultatif DBSnapshot) ID de l'instantané RDS à créer.
+ InstanceTags
Type : Chaîne
Description : (Facultatif) Balises à créer pour l'instance.
+ SnapshotTags
Type : Chaîne
Description : (Facultatif) Balises à créer pour l'instantané.
**Étapes de document**
créer RDSSnapshot — Crée le cliché RDS et renvoie l'ID du cliché.
vérifier RDSSnapshot — Vérifie que le cliché créé à l'étape précédente existe.
**Sorties**
créerRDSSnapshot. SnapshotId — L'ID de l'instantané créé.
# `AWSConfigRemediation-DeleteRDSCluster`
**Description**
Le `AWSConfigRemediation-DeleteRDSCluster` runbook supprime le cluster Amazon Relational Database Service (Amazon RDS) que vous spécifiez. AWS Config doit être activé dans l' Région AWS endroit où vous exécutez cette automatisation.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteRDSCluster)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ DBClusterID
Type : Chaîne
Description : (Obligatoire) L'identifiant de ressource du cluster de base de données sur lequel vous souhaitez activer la protection contre les suppressions.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `config:GetResourceConfigHistory`
+ `rds:DeleteDBCluster`
+ `rds:DeleteDBInstance`
+ `rds:DescribeDBClusters`
**Étapes de document**
+ `aws:executeScript`- Supprime le cluster de base de données que vous spécifiez dans le `DBClusterId` paramètre.
# `AWSConfigRemediation-DeleteRDSClusterSnapshot`
**Description**
Le `AWSConfigRemediation-DeleteRDSClusterSnapshot` runbook supprime l'instantané du cluster Amazon Relational Database Service (Amazon RDS) donné.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteRDSClusterSnapshot)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ DBClusterSnapshotId
Type : Chaîne
Description : (Obligatoire) L'identifiant de capture d'écran du cluster Amazon RDS à supprimer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `rds:DeleteDBClusterSnapshot`
+ `rds:DescribeDBClusterSnapshots`
**Étapes de document**
+ `aws:branch`- Vérifie si le snapshot du cluster est en bon `available` état. S'il n'est pas disponible, le flux s'arrête.
+ `aws:executeAwsApi`- Supprime l'instantané de cluster Amazon RDS donné à l'aide de l'identifiant d'instantané de cluster de base de données (DB).
+ `aws:executeScript`- Vérifie que l'instantané du cluster Amazon RDS donné a été supprimé.
# `AWSConfigRemediation-DeleteRDSInstance`
**Description**
Le `AWSConfigRemediation-DeleteRDSInstance` runbook supprime l'instance Amazon Relational Database Service (Amazon RDS) que vous spécifiez. Lorsque vous supprimez une instance de base de données (DB), toutes les sauvegardes automatiques de cette instance sont supprimées et ne peuvent pas être restaurées. Les instantanés de base de données manuels ne sont pas supprimés. Si l'instance de base de données que vous souhaitez supprimer est dans l'`incompatible-restore`état `failed``incompatible-network`, ou, vous devez définir le `SkipFinalSnapshot` paramètre sur`true`.
**Note**
Si l'instance de base de données que vous souhaitez supprimer se trouve dans un cluster de base de données Amazon Aurora, le runbook ne supprimera pas l'instance de base de données s'il s'agit d'une réplique en lecture et de la seule instance du cluster de base de données.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteRDSInstance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ DbiResourceId
Type : Chaîne
Description : (Obligatoire) L'identifiant de ressource de l'instance de base de données que vous souhaitez supprimer.
+ SkipFinalSnapshot
Type : Boolean
Valeur par défaut : false
Description : (Facultatif) Si ce paramètre est défini sur`true`, aucun instantané final n'est créé avant la suppression de l'instance de base de données.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `rds:DeleteDBInstance`
+ `rds:DescribeDBInstances`
**Étapes de document**
+ `aws:executeAwsApi`- Recueille le nom de l'instance de base de données à partir de la valeur que vous spécifiez dans le `DbiResourceId` paramètre.
+ `aws:branch`- Branches basées sur la valeur que vous spécifiez dans le `SkipFinalSnapshot` paramètre.
+ `aws:executeAwsApi`- Supprime l'instance de base de données que vous spécifiez dans le `DbiResourceId` paramètre.
+ `aws:executeAwsApi`- Supprime l'instance de base de données que vous spécifiez dans le `DbiResourceId` paramètre après la création de l'instantané final.
+ `aws:assertAwsResourceProperty`- Vérifie que l'instance de base de données a été supprimée.
# `AWSConfigRemediation-DeleteRDSInstanceSnapshot`
**Description**
Le `AWSConfigRemediation-DeleteRDSInstanceSnapshot` runbook supprime l'instantané d'instance Amazon Relational Database Service (Amazon RDS) que vous spécifiez. Seuls les instantanés dans `available` cet état sont supprimés. Ce runbook ne permet pas de supprimer des instantanés des instances de base de données Amazon Aurora.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteRDSInstanceSnapshot)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ DbSnapshotId
Type : Chaîne
Description : (Obligatoire) L'ID de l'instantané que vous souhaitez supprimer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `rds:DeleteDBSnapshot`
+ `rds:DescribeDBSnapshots`
**Étapes de document**
+ `aws:executeAwsApi`- Rassemble l'état de l'instantané spécifié dans le `DbSnapshotId` paramètre.
+ `aws:assertAwsResourceProperty`- Confirme que l'état de l'instantané est`available`.
+ `aws:executeAwsApi`- Supprime le cliché spécifié dans le `DbSnapshotId` paramètre.
+ `aws:executeScript`- Vérifie que l'instantané a été supprimé.
# `AWSConfigRemediation-DisablePublicAccessToRDSInstance`
**Description**
Le `AWSConfigRemediation-DisablePublicAccessToRDSInstance` runbook désactive l'accessibilité publique pour l'instance de base de données (DB) Amazon Relational Database Service (Amazon RDS) que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DisablePublicAccessToRDSInstance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ DbiResourceId
Type : Chaîne
Description : (Obligatoire) L'identifiant de ressource de l'instance de base de données pour laquelle vous souhaitez désactiver l'accessibilité publique.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `rds:DescribeDBInstances`
+ `rds:ModifyDBInstance`
**Étapes de document**
+ `aws:executeAwsApi`- Recueille l'identifiant de l'instance de base de données à partir de l'identifiant de ressource de l'instance de base de données.
+ `aws:assertAwsResourceProperty`- Vérifie que les instances de base de données sont dans un `AVAILABLE` état.
+ `aws:executeAwsApi`- Désactive l'accessibilité publique sur votre instance de base de données.
+ `aws:waitForAwsResourceProperty`- Attend que l'instance de base de données passe à un `MODIFYING` état.
+ `aws:waitForAwsResourceProperty`- Attend que l'instance de base de données passe à un `AVAILABLE` état.
+ `aws:assertAwsResourceProperty`- Confirme que l'accessibilité publique est désactivée sur l'instance de base de données.
# `AWSConfigRemediation-EnableCopyTagsToSnapshotOnRDSCluster`
**Description**
Le `AWSConfigRemediation-EnableCopyTagsToSnapshotOnRDSCluster` runbook active le `CopyTagsToSnapshot` paramètre sur le cluster Amazon Relational Database Service (Amazon RDS) que vous spécifiez. L'activation de ce paramètre copie toutes les balises du cluster de base de données vers des instantanés du cluster de base de données. Par défaut, ils ne sont pas copiés. AWS Config doit être activé dans l' Région AWS endroit où vous exécutez cette automatisation.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableCopyTagsToSnapshotOnRDSCluster)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ ApplyImmediately
Type : Boolean
Valeur par défaut : false
Description : (Facultatif) Si vous spécifiez `true` ce paramètre, les modifications de cette demande et les modifications en attente sont appliquées de manière asynchrone dès que possible, quel que soit le `PreferredMaintenanceWindow` paramètre du cluster de base de données.
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ DbClusterResourceId
Type : Chaîne
Description : (Obligatoire) L'identifiant de ressource du cluster de base de données sur lequel vous souhaitez activer le `CopyTagsToSnapshot` paramètre.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `config:GetResourceConfigHistory`
+ `rds:DescribeDBClusters`
+ `rds:ModifyDBCluster`
**Étapes de document**
+ `aws:executeAwsApi`- Recueille l'identifiant du cluster de base de données à partir de l'identifiant de ressource du cluster de base de données.
+ `aws:assertAwsResourceProperty`- Confirme que le cluster de base de données est dans un `AVAILABLE` état.
+ `aws:executeAwsApi`- Active le `CopyTagsToSnapshot` paramètre sur votre cluster de base de données.
+ `aws:assertAwsResourceProperty`- Confirme que le `CopyTagsToSnapshot` paramètre est activé sur votre cluster de base de données.
# `AWSConfigRemediation-EnableCopyTagsToSnapshotOnRDSDBInstance`
**Description**
Le `AWSConfigRemediation-EnableCopyTagsToSnapshotOnRDSDBInstance` runbook active le `CopyTagsToSnapshot` paramètre sur l'instance Amazon Relational Database Service (Amazon RDS) que vous spécifiez. L'activation de ce paramètre copie toutes les balises de l'instance de base de données vers des instantanés de l'instance de base de données. Par défaut, ils ne sont pas copiés. AWS Config doit être activé dans l' Région AWS endroit où vous exécutez cette automatisation.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableCopyTagsToSnapshotOnRDSDBInstance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ ApplyImmediately
Type : Boolean
Valeur par défaut : false
Description : (Facultatif) Si vous spécifiez `true` ce paramètre, les modifications de cette demande et les modifications en attente sont appliquées de manière asynchrone dès que possible, quel que soit le `PreferredMaintenanceWindow` paramètre de l'instance de base de données.
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ DbiResourceId
Type : Chaîne
Description : (Obligatoire) L'identifiant de ressource de l'instance de base de données sur laquelle vous souhaitez activer le `CopyTagsToSnapshot` paramètre.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `config:GetResourceConfigHistory`
+ `rds:DescribeDBInstances`
+ `rds:ModifyDBInstance`
**Étapes de document**
+ `aws:executeAwsApi`- Recueille l'identifiant de l'instance de base de données à partir de l'identifiant de ressource de l'instance de base de données.
+ `aws:assertAwsResourceProperty`- Confirme que l'instance de base de données est dans un `AVAILABLE` état.
+ `aws:executeAwsApi`- Active le `CopyTagsToSnapshot` paramètre sur votre instance de base de données.
+ `aws:assertAwsResourceProperty`- Confirme que le `CopyTagsToSnapshot` paramètre est activé sur votre instance de base de données.
# `AWSConfigRemediation-EnableEnhancedMonitoringOnRDSInstance`
**Description**
Le `AWSConfigRemediation-EnableEnhancedMonitoringOnRDSInstance` runbook permet une surveillance améliorée sur l'instance de base de données Amazon RDS que vous spécifiez. Pour plus d'informations sur la surveillance améliorée, consultez la section [Surveillance améliorée](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) dans le *guide de l'utilisateur Amazon RDS*.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableEnhancedMonitoringOnRDSInstance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ MonitoringInterval
Type : Integer
Valeurs valides : 1 \$1 5 \$1 10 \$1 15 \$1 30 \$1 60
Description : (Obligatoire) Intervalle en secondes pendant lequel les métriques de surveillance améliorée sont collectées à partir de l'instance de base de données.
+ MonitoringRoleArn
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle IAM qui permet à Amazon RDS d'envoyer des métriques de surveillance améliorées à Amazon CloudWatch Logs.
+ ResourceId
Type : Chaîne
Description : (Obligatoire) L'identifiant de ressource de l'instance de base de données sur laquelle vous souhaitez activer la surveillance améliorée.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `rds:DescribeDBInstances`
+ `rds:ModifyDBInstance`
**Étapes de document**
+ `aws:executeAwsApi`- Recueille l'identifiant de l'instance de base de données à partir de l'identifiant de ressource de l'instance de base de données.
+ `aws:assertAwsResourceProperty`- Confirme que l'instance de base de données est dans un `AVAILABLE` état.
+ `aws:executeAwsApi`- Active la surveillance améliorée sur votre instance de base de données.
+ `aws:executeScript`- Confirme que la surveillance améliorée est activée sur votre instance de base de données.
# `AWSConfigRemediation-EnableMinorVersionUpgradeOnRDSDBInstance`
**Description**
Le `AWSConfigRemediation-EnableMinorVersionUpgradeOnRDS` runbook active le `AutoMinorVersionUpgrade` paramètre sur l'instance de base de données Amazon RDS que vous spécifiez. L'activation de ce paramètre signifie que les mises à niveau des versions mineures sont appliquées automatiquement à l'instance de base de données pendant la fenêtre de maintenance.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableMinorVersionUpgradeOnRDS)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ DbiResourceId
Type : Chaîne
Description : (Obligatoire) L'identifiant de ressource de l'instance de base de données sur laquelle vous souhaitez `AutoMinorVersionUpgrade` définir le paramètre.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `rds:DescribeDBInstances`
+ `rds:ModifyDBInstance`
**Étapes de document**
+ `aws:executeAwsApi`- Recueille l'identifiant de l'instance de base de données à partir de l'identifiant de ressource de l'instance de base de données.
+ `aws:assertAwsResourceProperty`- Confirme que l'instance de base de données est dans un `AVAILABLE` état.
+ `aws:executeAwsApi`- Active le `AutoMinorVersionUpgrade` paramètre sur votre instance de base de données.
+ `aws:executeScript`- Confirme que le `AutoMinorVersionUpgrade` paramètre est activé sur votre instance de base de données.
# `AWSConfigRemediation-EnableMultiAZOnRDSInstance`
**Description**
Le `AWSConfigRemediation-EnableMultiAZOnRDSInstance` runbook remplace votre instance de base de données (DB) Amazon Relational Database Service (Amazon RDS) par un déploiement multi-AZ. La modification de ce paramètre n'entraîne pas d'interruption. La modification est appliquée lors de la fenêtre de maintenance suivante, sauf si vous définissez le `ApplyImmediately` paramètre sur`true`.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableMultiAZOnRDSInstance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ ApplyImmediately
Type : Boolean
Valeur par défaut : false
Description : (Facultatif) Si vous spécifiez `true` ce paramètre, les modifications de cette demande et les modifications en attente sont appliquées de manière asynchrone dès que possible, quel que soit le `PreferredMaintenanceWindow` paramètre de l'instance de base de données.
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ DbiResourceId
Type : Chaîne
Description : (Obligatoire) L'identifiant Région AWS unique et immuable de l'instance de base de données pour activer le `MultiAZ` paramètre.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `rds:DescribeDBInstances`
+ `rds:ModifyDBInstance`
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
**Étapes de document**
+ `aws:executeAwsApi`- Récupère le nom de l'instance de base de données à l'aide de la valeur fournie dans le `DBInstanceId` paramètre.
+ `aws:executeAwsApi`- Vérifie que `DBInstanceStatus` c'est `available` le cas.
+ `aws:branch`- Vérifie si le `MultiAZ` est déjà défini `true` sur l'instance de base de données que vous spécifiez dans le `DbiResourceId` paramètre.
+ `aws:executeAwsApi`- Modifie le `MultiAZ` paramètre `true` sur l'instance de base de données que vous spécifiez dans le `DbiResourceId` paramètre.
+ `aws:assertAwsResourceProperty`- Vérifie que le paramètre `MultiAZ` est défini `true` sur l'instance de base de données que vous spécifiez dans le `DbiResourceId` paramètre.
# `AWSConfigRemediation-EnablePerformanceInsightsOnRDSInstance`
**Description**
Le `AWSConfigRemediation-EnablePerformanceInsightsOnRDSInstance` runbook active Performance Insights sur l'instance de base de données Amazon RDS que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnablePerformanceInsightsOnRDSInstance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ DbiResourceId
Type : Chaîne
Description : (Obligatoire) L'identifiant de ressource de l'instance de base de données sur laquelle vous souhaitez activer Performance Insights.
+ PerformanceInsightsKMSKeyId
Type : Chaîne
Valeur par défaut : `alias/aws/rds`
Description : (Facultatif) Le nom de ressource Amazon (ARN), l'identifiant de clé ou l'alias de clé AWS Key Management Service (AWS KMS) gérée par le client que vous souhaitez que Performance Insights utilise pour chiffrer toutes les données potentiellement sensibles. Si vous entrez l'alias de clé pour ce paramètre, préfixez la valeur par**alias/**. Si vous ne spécifiez aucune valeur pour ce paramètre, le Clé gérée par AWS est utilisé.
+ PerformanceInsightsRetentionPeriod
Type : Integer
Valeurs valides : 7 731
Valeur par défaut : 7
Description : (Facultatif) Le nombre de jours pendant lesquels vous souhaitez conserver les données Performance Insights.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `kms:CreateGrant`
+ `kms:DescribeKey`
+ `rds:DescribeDBInstances`
+ `rds:ModifyDBInstance`
**Étapes de document**
+ `aws:executeAwsApi`- Recueille l'identifiant de l'instance de base de données à partir de l'identifiant de ressource de l'instance de base de données.
+ `aws:assertAwsResourceProperty`- Confirme que le statut de l'instance de base de données est`available`.
+ `aws:executeAwsApi`- Rassemble l'ARN de la clé gérée par le AWS KMS client spécifiée dans le `PerformanceInsightsKMSKeyId` paramètre.
+ `aws:branch`- Vérifie si une valeur est déjà attribuée à la `PerformanceInsightsKMSKeyId` propriété de l'instance de base de données.
+ `aws:executeAwsApi`- Active Performance Insights sur l'instance de base de données que vous spécifiez dans le `DbiResourceId` paramètre.
+ `aws:assertAwsResourceProperty`- Confirme que la valeur spécifiée pour le `PerformanceInsightsKMSKeyId` paramètre a été utilisée pour activer le chiffrement pour Performance Insights sur l'instance de base de données.
+ `aws:assertAwsResourceProperty`- Confirme que Performance Insights est activé sur l'instance de base de données.
# `AWSConfigRemediation-EnableRDSClusterDeletionProtection`
**Description**
Le `AWSConfigRemediation-EnableRDSClusterDeletionProtection` runbook active la protection contre la suppression sur le cluster Amazon Relational Database Service (Amazon RDS) que vous spécifiez. AWS Config doit être activé dans l' Région AWS endroit où vous exécutez cette automatisation.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableRDSClusterDeletionProtection)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ ClusterId
Type : Chaîne
Description : (Obligatoire) L'identifiant de ressource du cluster de base de données sur lequel vous souhaitez activer la protection contre les suppressions.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `config:GetResourceConfigHistory`
+ `rds:DescribeDBClusters`
+ `rds:ModifyDBCluster`
**Étapes de document**
+ `aws:executeAwsApi`- Recueille le nom du cluster de base de données à partir de l'identifiant de ressource du cluster de base de données.
+ `aws:assertAwsResourceProperty`- Vérifie que l'état du cluster de base de données est`available`.
+ `aws:executeAwsApi`- Active la protection contre la suppression sur le cluster de base de données que vous spécifiez dans le `ClusterId` paramètre.
+ `aws:assertAwsResourceProperty`- Vérifie que la protection contre les suppressions a été activée sur le cluster de base de données.
# `AWSConfigRemediation-EnableRDSInstanceBackup`
**Description**
Le `AWSConfigRemediation-EnableRDSInstanceBackup` runbook permet de sauvegarder l'instance de base de données Amazon Relational Database Service (Amazon RDS) que vous spécifiez. Ce runbook ne prend pas en charge l'activation des sauvegardes pour les instances de base de données Amazon Aurora.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableRDSInstanceBackup)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ ApplyImmediately
Type : Boolean
Valeur par défaut : false
Description : (Facultatif) Si vous spécifiez `true` ce paramètre, les modifications de cette demande et les modifications en attente sont appliquées de manière asynchrone dès que possible, quel que soit le `PreferredMaintenanceWindow` paramètre de l'instance de base de données.
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ BackupRetentionPeriod
Type : Integer
Valeurs valides : 1 à 35
Description : (Obligatoire) Nombre de jours pendant lesquels les sauvegardes sont conservées.
+ DbiResourceId
Type : Chaîne
Description : (Obligatoire) L'identifiant de ressource de l'instance de base de données pour laquelle vous souhaitez activer les sauvegardes.
+ PreferredBackupWindow
Type : Chaîne
Description : (Facultatif) La plage horaire quotidienne (en UTC) pendant laquelle les sauvegardes sont créées.
Contraintes:
+ Doit être au format `hh24:mi-hh24:mi`
+ Doit être en temps universel coordonné (UTC)
+ Ne doit pas être en conflit avec la fenêtre de maintenance préférée
+ Doit être de 30 minutes minimum.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `rds:DescribeDBInstances`
+ `rds:ModifyDBInstance`
**Étapes de document**
+ `aws:executeScript`- Recueille l'identifiant de l'instance de base de données à partir de l'identifiant de ressource de l'instance de base de données. Active les sauvegardes pour votre instance de base de données. Confirme que les sauvegardes sont activées sur l'instance de base de données.
# `AWSConfigRemediation-EnableRDSInstanceDeletionProtection`
**Description**
Le `AWSConfigRemediation-EnableRDSInstanceDeletionProtection` runbook active la protection contre la suppression sur l'instance de base de données Amazon RDS que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableRDSInstanceDeletionProtection)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ ApplyImmediately
Type : Boolean
Valeur par défaut : false
Description : (Facultatif) Si vous spécifiez `true` ce paramètre, les modifications de cette demande et les modifications en attente sont appliquées de manière asynchrone dès que possible, quel que soit le `PreferredMaintenanceWindow` paramètre de l'instance de base de données.
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ DbInstanceResourceId
Type : Chaîne
Description : (Obligatoire) L'identifiant de ressource de l'instance de base de données sur laquelle vous souhaitez activer la protection contre les suppressions.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `rds:DescribeDBInstances`
+ `rds:ModifyDBInstance`
**Étapes de document**
+ `aws:executeAwsApi`- Recueille l'identifiant de l'instance de base de données à partir de l'identifiant de ressource de l'instance de base de données.
+ `aws:executeAwsApi`- Active la protection contre les suppressions sur votre instance de base de données.
+ `aws:assertAwsResourceProperty`- Confirme que la protection contre la suppression est activée sur l'instance de base de données.
# `AWSConfigRemediation-ModifyRDSInstancePortNumber`
**Description**
Le `AWSConfigRemediation-ModifyRDSInstancePortNumber` runbook modifie le numéro de port sur lequel l'instance Amazon Relational Database Service (Amazon RDS) accepte les connexions. L'exécution de cette automatisation redémarrera la base de données.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-ModifyRDSInstancePortNumber)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ PortNumber
Type : Chaîne
Description : (Facultatif) Le numéro de port sur lequel vous souhaitez que l'instance de base de données accepte les connexions.
+ RDSDBInstanceResourceId
Type : Chaîne
Description : (Obligatoire) L'identifiant de ressource de l'instance de base de données dont vous souhaitez modifier le numéro de port entrant.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `rds:DescribeDBInstances`
+ `rds:ModifyDBInstance`
**Étapes de document**
+ `aws:executeAwsApi`- Recueille l'identifiant de l'instance de base de données à partir de l'identifiant de ressource de l'instance de base de données.
+ `aws:assertAwsResourceProperty`- Confirme que l'instance de base de données est dans un `AVAILABLE` état.
+ `aws:executeAwsApi`- Modifie le numéro de port entrant sur lequel votre instance de base de données accepte les connexions.
+ `aws:waitForAwsResourceProperty`- Attend que l'instance de base de données soit dans un `MODIFYING` état.
+ `aws:waitForAwsResourceProperty`- Attend que l'instance de base de données soit dans un `AVAILABLE` état.
# `AWSSupport-ModifyRDSSnapshotPermission`
**Description**
Le `AWSSupport-ModifyRDSSnapshotPermission` runbook vous permet de modifier les autorisations pour plusieurs instantanés Amazon Relational Database Service (Amazon RDS). À l'aide de ce runbook, vous pouvez créer des instantanés `Public` ou `Private` les partager avec d'autres. Comptes AWS Les instantanés chiffrés avec une clé KMS par défaut ne peuvent pas être partagés avec d'autres comptes utilisant ce runbook.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ModifyRDSSnapshotPermission)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ AccountIds
Type : StringList
Par défaut: Aucun
Description : (Facultatif) Les IDs comptes avec lesquels vous souhaitez partager des instantanés. Ce paramètre est obligatoire si vous entrez `No` la valeur du `Private` paramètre.
+ AccountPermissionOperation
Type : Chaîne
Valeurs valides : ajouter \$1 supprimer
Par défaut: Aucun
Description : (Facultatif) Type d'opération à effectuer.
+ Privé
Type : Chaîne
Valeurs valides : Oui \$1 Non
Description : (Obligatoire) Entrez `No` la valeur si vous souhaitez partager des instantanés avec des comptes spécifiques.
+ SnapshotIdentifiers
Type : StringList
Description : (Obligatoire) Les noms des instantanés Amazon RDS dont vous souhaitez modifier l'autorisation.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `rds:DescribeDBSnapshots`
+ `rds:ModifyDBSnapshotAttribute`
**Étapes de document**
1. `aws:executeScript`- Vérifie les IDs instantanés fournis dans le `SnapshotIdentifiers` paramètre. Après avoir vérifié le IDs, le script recherche les instantanés chiffrés et affiche une liste s'ils sont trouvés.
1. `aws:branch`- Branche l'automatisation en fonction de la valeur que vous entrez pour le `Private` paramètre.
1. `aws:executeScript`- Modifie les autorisations des instantanés spécifiés pour les partager avec les comptes spécifiés.
1. `aws:executeScript`- Modifie les autorisations des instantanés pour les faire passer de `Public` à. `Private`
**Sorties**
ValidateSnapshots.EncryptedSnapshots
SharewithOtherAccounts.Résultat
MakePrivate.Résultat
MakePrivate.Commandes
# `AWSPremiumSupport-PostgreSQLWorkloadReview`
**Description**
Le `AWSPremiumSupport-PostgreSQLWorkloadReview` runbook capture plusieurs instantanés des statistiques d'utilisation de votre base de données PostgreSQL Amazon Relational Database Service (Amazon RDS). Les statistiques capturées sont nécessaires pour qu'un expert [des services Support proactifs](https://aws.amazon.com/premiumsupport/technology-and-programs/proactive-services/) puisse effectuer un examen opérationnel. Les statistiques sont collectées à l'aide d'un ensemble de scripts SQL et shell personnalisés. Ces scripts sont téléchargés sur une instance Amazon Elastic Compute Cloud (Amazon EC2) temporaire dans Compte AWS votre instance créée par ce runbook. Le runbook vous demande de fournir des informations d'identification à l'aide d'un AWS Secrets Manager secret contenant une paire clé-valeur du nom d'utilisateur et du mot de passe. Le nom d'utilisateur doit être autorisé à interroger les vues et fonctions statistiques standard de PostgreSQL.
Ce runbook crée automatiquement les AWS ressources suivantes dans votre fichier à Compte AWS l'aide d'une AWS CloudFormation pile. Vous pouvez surveiller la création de la pile à l'aide de la CloudFormation console.
+ Un cloud privé virtuel (VPC) et une instance Amazon EC2 lancés dans un sous-réseau privé du VPC avec une connectivité optionnelle à Internet via une passerelle NAT.
+ Rôle Gestion des identités et des accès AWS (IAM) attaché à l'instance temporaire Amazon EC2 avec les autorisations nécessaires pour récupérer la valeur secrète de Secrets Manager. Le rôle fournit également des autorisations pour télécharger des fichiers dans un bucket Amazon Simple Storage Service (Amazon S3) de votre choix, et éventuellement dans un dossier. Support
+ Une connexion d'appairage VPC pour permettre la connectivité entre votre instance de base de données et l'instance temporaire Amazon EC2.
+ Points de terminaison Systems Manager, Secrets Manager et Amazon S3 VPC attachés au VPC temporaire.
+ Une fenêtre de maintenance avec des tâches enregistrées qui démarrent et arrêtent périodiquement l'instance temporaire Amazon EC2, exécutent des scripts de collecte de données et chargent des fichiers dans un compartiment Amazon S3. Un rôle IAM est également créé pour la fenêtre de maintenance qui fournit les autorisations nécessaires pour effectuer les tâches enregistrées.
Lorsque le runbook est terminé, la CloudFormation pile utilisée pour créer les AWS ressources nécessaires est supprimée et le rapport est chargé dans le compartiment Amazon S3 de votre choix, et éventuellement dans un Support dossier.
**Note**
Par défaut, le volume Amazon EBS racine de l'instance Amazon EC2 temporaire est préservé. Vous pouvez annuler cette option en définissant le `EbsVolumeDeleteOnTermination` paramètre sur. `true`
**Conditions préalables**
+ **Abonnement au support d'entreprise** Ce manuel et les diagnostics et révisions de la charge de travail de Proactive Services nécessitent un abonnement au support d'entreprise. Avant d'utiliser ce manuel, contactez votre responsable de compte technique (TAM) ou votre spécialiste TAM (STAM) pour obtenir des instructions. Pour plus d'informations, consultez [Support Proactive Services](https://aws.amazon.com/premiumsupport/technology-and-programs/proactive-services/).
+ **Compte et Région AWS quotas** Vérifiez que vous n'avez pas atteint le nombre maximum d'instances Amazon EC2 ou VPCs que vous pouvez en créer dans votre compte et dans la région où vous utilisez ce runbook. Si vous devez demander une augmentation de limite, consultez le [formulaire d'augmentation de limite de service](https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase/).
+ **Configuration de base de données**
1. L'`pg_stat_statements`extension doit être configurée pour la base de données que vous spécifiez dans le `DatabaseName` paramètre. Si vous n'avez pas configuré `pg_stat_statements` dans`shared_preload_libraries`, vous devez modifier la valeur dans le groupe de paramètres de base de données et appliquer les modifications. Les modifications apportées au paramètre `shared_preload_libraries` nécessitent le redémarrage de votre instance de base de données. Pour plus d'informations, veuillez consulter [Utilisation des groupes de paramètres](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithParamGroups.html). L'ajout `pg_stat_statements` à `shared_preload_libraries` ajoutera une certaine surcharge en termes de performances. Cependant, cela est utile pour suivre les performances des relevés individuels. Pour plus d'informations sur l'`pg_stat_statements`extension, consultez la documentation de [PostgreSQL](https://www.postgresql.org/docs/10/pgstatstatements.html). Si vous ne configurez pas l'`pg_stat_statements`extension ou si l'extension n'est pas présente dans la base de données utilisée pour la collecte des statistiques, l'analyse au niveau des instructions ne sera pas présentée dans la revue opérationnelle.
1. Assurez-vous que les `track_activities` paramètres `track_counts` et ne sont pas désactivés. Si ces paramètres sont désactivés dans le groupe de paramètres de base de données, aucune statistique significative ne sera disponible. La modification de ces paramètres vous obligera à redémarrer votre instance de base de données. Pour plus d'informations, consultez [Utilisation des paramètres sur votre instance de base de données Amazon RDS for PostgreSQL.](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.PostgreSQL.CommonDBATasks.Parameters.html)
1. Si le `track_io_timing` paramètre est désactivé, les statistiques de I/O niveau ne seront pas incluses dans la revue opérationnelle. La modification vous `track_io_timing` obligera à redémarrer votre instance de base de données et entraînera une surcharge de performance supplémentaire en fonction de la charge de travail de l'instance de base de données. Malgré la surcharge de performance associée aux charges de travail critiques, ce paramètre fournit des informations utiles relatives au I/O temps passé par requête.
**Facturation et frais Les** coûts associés à l'instance Amazon EC2 temporaire, au volume Amazon EBS associé, à la passerelle NAT et aux données transférées pendant l'exécution de cette automatisation Compte AWS vous seront facturés. Par défaut, ce runbook crée une instance `t3.micro` Amazon Linux 2 pour collecter les statistiques. Le runbook démarre et arrête l'instance entre les étapes afin de réduire les coûts.
**Sécurité et gouvernance des données** Ce runbook collecte des statistiques en interrogeant les vues et les fonctions statistiques de [PostgreSQL](https://www.postgresql.org/docs/current/monitoring-stats.html). Assurez-vous que les informations d'identification fournies dans le `SecretId` paramètre n'autorisent que les autorisations en lecture seule pour les vues et les fonctions des statistiques. Dans le cadre de l'automatisation, les scripts de collecte sont chargés dans votre compartiment Amazon S3 et peuvent y être localisés`s3://amzn-s3-demo-bucket/automation execution id/queries/`.
Ces scripts collectent des données qui sont utilisées par un AWS spécialiste pour examiner les indicateurs de performance clés au niveau de l'objet. Le script collecte des informations telles que le nom de la table, le nom du schéma et le nom de l'index. Si l'une de ces informations contient des informations sensibles telles que des indicateurs de revenus, un nom d'utilisateur, une adresse e-mail ou toute autre information personnellement identifiable, nous vous recommandons de mettre fin à cet examen de la charge de travail. Contactez votre AWS TAM pour discuter d'une autre approche pour l'examen de la charge de travail.
Assurez-vous d'avoir l'approbation et l'autorisation nécessaires pour partager les statistiques et les métadonnées collectées par cette automatisation avec AWS.
**Considérations relatives à la sécurité** Si vous définissez le `UpdateRdsSecurityGroup` paramètre sur`yes`, le runbook met à jour le groupe de sécurité associé à votre instance de base de données afin d'autoriser le trafic entrant depuis l'adresse IP privée de l'instance temporaire Amazon EC2.
Si vous définissez le `UpdateRdsRouteTable` paramètre sur`yes`, le runbook met à jour la table de routage associée au sous-réseau dans lequel votre instance de base de données s'exécute afin d'autoriser le trafic vers l'instance temporaire Amazon EC2 via la connexion d'appairage VPC.
**Création d'un utilisateur** Pour permettre au script de collecte de se connecter à votre base de données Amazon RDS, vous devez configurer un utilisateur autorisé à lire les vues statistiques. Vous devez ensuite enregistrer les informations d'identification dans Secrets Manager. Nous vous recommandons de créer un nouvel utilisateur dédié pour cette automatisation. La création d'un utilisateur distinct vous permet d'auditer et de suivre les activités effectuées par cette automatisation.
1. Créez un nouvel utilisateur.
`psql -h -p -U -c "CREATE USER PASSWORD '';"`
1. Assurez-vous que cet utilisateur ne peut établir que des connexions en lecture seule.
`psql -h -p -U -c "ALTER USER SET default_transaction_read_only=true;"`
1. Définissez des limites de niveau utilisateur.
`psql -h -p -U -c "ALTER USER SET work_mem=4096;"`
`psql -h -p -U -c "ALTER USER SET statement_timeout=10000;"`
`psql -h -p -U -c "ALTER USER SET idle_in_transaction_session_timeout=60000;"`
1. Accordez `pg_monitor` des autorisations au nouvel utilisateur afin qu'il puisse accéder aux statistiques de la base de données. (Le `pg_monitor` rôle est membre de `pg_read_all_settings``pg_read_all_stats`, et`pg_stat_scan_table`.)
`psql -h -p -U -c "GRANT pg_monitor to ;"`
**Autorisations ajoutées au profil d'instance temporaire Amazon EC2 par cette solution Systems Manager Automation** Les autorisations suivantes sont ajoutées au rôle IAM associé à l'instance Amazon EC2 temporaire. La politique `AmazonSSMManagedInstanceCore` gérée est également associée au rôle IAM pour permettre à l'instance Amazon EC2 d'être gérée par Systems Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeTags"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Effect": "Allow"
},
{
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/automation-execution-id/*",
"Effect": "Allow"
},
{
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id",
"Effect": "Allow"
},
{
"Action": [
"support:AddAttachmentsToSet",
"support:AddCommunicationToCase",
"support:DescribeCases"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
**Autorisations ajoutées à la fenêtre de maintenance temporaire par cette automatisation de Systems Manager** Les autorisations suivantes sont automatiquement ajoutées au rôle IAM associé aux tâches de maintenance Windows. Les tâches Windows de maintenance démarrent, s'arrêtent et envoient des commandes à l'instance temporaire Amazon EC2.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ssm:GetAutomationExecution",
"ssm:ListCommands",
"ssm:ListCommandInvocations",
"ssm:GetCommandInvocation",
"ssm:GetCalendarState",
"ssm:CancelCommand",
"ec2:DescribeInstanceStatus"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ssm:SendCommand",
"ec2:StartInstances",
"ec2:StopInstances",
"ssm:StartAutomationExecution"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/temporary-instance-id",
"arn:aws:ssm:*:*:document/AWS-RunShellScript",
"arn:aws:ssm:*:*:document/AWS-StopEC2Instance",
"arn:aws:ssm:*:*:document/AWS-StartEC2Instance",
"arn:aws:ssm:*:111122223333:automation-execution/*"
],
"Effect": "Allow"
},
{
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
},
"ArnLike": {
"iam:AssociatedResourceARN": "arn:aws:ssm:*:*:document/AWS-*"
}
},
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/SSM-*",
"Effect": "Allow"
}
]
}
```
------
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-PostgreSQLWorkloadReview)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ DBInstanceIdentifiant
Type : Chaîne
Description : (Obligatoire) L'ID de votre instance de base de données.
+ DatabaseName
Type : Chaîne
Description : (Obligatoire) Le nom de la base de données hébergée sur votre instance de base de données.
+ SecretId
Type : Chaîne
Description : (Obligatoire) L'ARN de votre secret Secrets Manager contenant la paire clé/valeur du nom d'utilisateur et du mot de passe. La CloudFormation pile crée une politique IAM avec des autorisations pour l'`GetSecretValue`opération sur cet ARN. Les informations d'identification sont utilisées pour permettre à l'instance temporaire de collecter les statistiques de la base de données. Contactez votre TAM ou votre STAM pour discuter des autorisations minimales requises.
+ Reconnaître
Type : Chaîne
Description : (Obligatoire) Entrez **yes** si vous reconnaissez que ce runbook créera des ressources temporaires dans votre compte pour collecter des statistiques à partir de votre instance de base de données. Nous vous recommandons de contacter votre TAM ou STAM avant d'exécuter cette automatisation.
+ SupportCase
Type : Chaîne
Description : (Facultatif) Le numéro de Support dossier fourni par votre TAM ou STAM. S'il est fourni, le runbook met à jour le dossier et y joint les données collectées. Cette option nécessite que l'instance Amazon EC2 temporaire dispose d'une connexion Internet pour accéder au point de terminaison de l' Support API. Vous devez définir le `AllowVpcInternetAccess` paramètre sur`true`. L'objet du dossier doit contenir la phrase`AWSPremiumSupport-PostgreSQLWorkloadReview`.
+ S3 BucketName
Type : Chaîne
Description : (Obligatoire) Le nom du compartiment Amazon S3 de votre compte dans lequel vous souhaitez télécharger les données collectées par l'automatisation. Vérifiez que la politique du compartiment n'accorde aucune autorisation de lecture ou d'écriture inutile aux principaux qui n'ont pas besoin d'accéder au contenu du compartiment. Nous vous recommandons de créer un nouveau compartiment Amazon S3 temporaire aux fins de cette automatisation. Le runbook fournit des autorisations pour le fonctionnement de l'`s3:PutObject`API au rôle IAM attaché à l'instance Amazon EC2 temporaire. Les fichiers téléchargés seront situés dans`s3://bucket name/automation execution id/`.
+ InstanceType
Type : Chaîne
Description : (Facultatif) Type d'instance Amazon EC2 temporaire qui exécutera les scripts SQL et shell personnalisés.
Valeurs valides : t2.micro \$1 t2.small \$1 t2.medium \$1 t2.large \$1 t3.micro \$1 t3.small \$1 t3.medium \$1 t3.large
Par défaut : t3.micro
+ VpcCidr
Type : Chaîne
Description : (Facultatif) La plage d'adresses IP en notation CIDR pour le nouveau VPC (par exemple`172.31.0.0/16`,). Assurez-vous de sélectionner un CIDR qui ne chevauche ni ne correspond à aucun VPC existant connecté à votre instance de base de données. Le plus petit VPC que vous pouvez créer utilise un masque de sous-réseau /28, tandis que le plus grand VPC utilise un masque de sous-réseau /16.
Par défaut : 172.31.0.0/16
+ StackResourcesNamePrefix
Type : Chaîne
Description : (Facultatif) Le préfixe et la balise du nom des ressources de la CloudFormation pile. Le runbook crée les ressources de la CloudFormation pile en utilisant ce préfixe dans le nom et la balise appliqués aux ressources. La structure de la paire clé-valeur du tag est. `StackResourcesNamePrefix:{{automation:EXECUTION_ID}}`
Par défaut : AWSPostgre SQLWorkload Révision
+ Planning
Type : Chaîne
Description : (Facultatif) Le calendrier de la fenêtre de maintenance. Spécifie la fréquence à laquelle la fenêtre de maintenance exécute les tâches. La valeur par défaut est every`1 hour`.
Valeurs valides : 15 minutes \$1 30 minutes \$1 1 heure \$1 2 heures \$1 4 heures \$1 6 heures \$1 12 heures \$1 1 jour \$1 2 jours \$1 4 jours
Par défaut : 1 heure
+ Duration
Type : Integer
Description : (Facultatif) Durée maximale, en minutes, pendant laquelle vous souhaitez autoriser l'exécution de l'automatisation. La durée maximale prise en charge est de 8 640 minutes (6 jours). La valeur par défaut est de 4 320 minutes (3 jours).
Valeurs valides : 30-8640
Par défaut : 4320
+ UpdateRdsRouteTable
Type : Chaîne
Description : (Facultatif) Si ce paramètre est défini sur`true`, le runbook met à jour la table de routage associée au sous-réseau dans lequel s'exécute votre instance de base de données. Une route IPv4 est ajoutée pour acheminer le trafic vers l'adresse IPV4 privée de l'instance Amazon EC2 temporaire via la connexion d'appairage VPC nouvellement créée.
Valeurs valides : true \$1 false
Valeur par défaut : false
+ AllowVpcInternetAccess
Type : Chaîne
Description : (Facultatif) S'il est défini sur`true`, le runbook crée une passerelle NAT pour fournir une connectivité Internet à l'instance temporaire Amazon EC2 afin de communiquer avec le point de terminaison de Support l'API. Vous pouvez laisser ce paramètre comme `false` si vous vouliez uniquement que le runbook télécharge la sortie dans votre compartiment Amazon S3.
Valeurs valides : true \$1 false
Valeur par défaut : false
+ UpdateRdsSecurityGroup
Type : Chaîne
Description : (Facultatif) Si ce paramètre est défini sur`true`, le runbook met à jour le groupe de sécurité associé à votre instance de base de données afin d'autoriser le trafic provenant de l'adresse IP privée de l'instance temporaire.
Valeurs valides : faux \$1 vrai
Valeur par défaut : false
+ EbsVolumeDeleteOnTermination
Type : Chaîne
Description : (Facultatif) Si ce paramètre est défini sur`true`, le volume racine de l'instance temporaire Amazon EC2 est supprimé une fois le runbook terminé et la pile supprimée. CloudFormation
Valeurs valides : faux \$1 vrai
Valeur par défaut : false
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `cloudformation:CreateStack`
+ `cloudformation:DeleteStack`
+ `cloudformation:DescribeStackEvents`
+ `cloudformation:DescribeStackResource`
+ `cloudformation:DescribeStacks`
+ `cloudformation:UpdateStack`
+ `ec2:AcceptVpcPeeringConnection`
+ `ec2:AllocateAddress`
+ `ec2:AssociateRouteTable`
+ `ec2:AssociateVpcCidrBlock`
+ `ec2:AttachInternetGateway`
+ `ec2:AuthorizeSecurityGroupEgress`
+ `ec2:AuthorizeSecurityGroupIngress`
+ `ec2:CreateEgressOnlyInternetGateway`
+ `ec2:CreateInternetGateway`
+ `ec2:CreateNatGateway`
+ `ec2:CreateRoute`
+ `ec2:CreateRouteTable`
+ `ec2:CreateSecurityGroup`
+ `ec2:CreateSubnet`
+ `ec2:CreateTags`
+ `ec2:CreateVpc`
+ `ec2:CreateVpcEndpoint`
+ `ec2:CreateVpcPeeringConnection`
+ `ec2:DeleteEgressOnlyInternetGateway`
+ `ec2:DeleteInternetGateway`
+ `ec2:DeleteNatGateway`
+ `ec2:DeleteRoute`
+ `ec2:DeleteRouteTable`
+ `ec2:DeleteSecurityGroup`
+ `ec2:DeleteSubnet`
+ `ec2:DeleteTags`
+ `ec2:DeleteVpc`
+ `ec2:DeleteVpcEndpoints`
+ `ec2:DescribeAddresses`
+ `ec2:DescribeEgressOnlyInternetGateways`
+ `ec2:DescribeImages`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceStatus`
+ `ec2:DescribeInternetGateways`
+ `ec2:DescribeNatGateways`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcEndpoints`
+ `ec2:DescribeVpcPeeringConnections`
+ `ec2:DescribeVpcs`
+ `ec2:DetachInternetGateway`
+ `ec2:DisassociateRouteTable`
+ `ec2:DisassociateVpcCidrBlock`
+ `ec2:ModifySubnetAttribute`
+ `ec2:ModifyVpcAttribute`
+ `ec2:RebootInstances`
+ `ec2:ReleaseAddress`
+ `ec2:RevokeSecurityGroupEgress`
+ `ec2:RevokeSecurityGroupIngress`
+ `ec2:StartInstances`
+ `ec2:StopInstances`
+ `ec2:RunInstances`
+ `ec2:TerminateInstances`
+ `iam:AddRoleToInstanceProfile`
+ `iam:AttachRolePolicy`
+ `iam:CreateInstanceProfile`
+ `iam:CreateRole`
+ `iam:DeleteInstanceProfile`
+ `iam:DeleteRole`
+ `iam:DeleteRolePolicy`
+ `iam:DetachRolePolicy`
+ `iam:GetInstanceProfile`
+ `iam:GetRole`
+ `iam:GetRolePolicy`
+ `iam:PassRole`
+ `iam:PutRolePolicy`
+ `iam:RemoveRoleFromInstanceProfile`
+ `iam:TagPolicy`
+ `iam:TagRole`
+ `rds:DescribeDBInstances`
+ `s3:GetAccountPublicAccessBlock`
+ `s3:GetBucketAcl`
+ `s3:GetBucketPolicyStatus`
+ `s3:GetBucketPublicAccessBlock`
+ `s3:ListBucket`
+ `ssm:AddTagsToResource`
+ `ssm:CancelMaintenanceWindowExecution`
+ `ssm:CreateDocument`
+ `ssm:CreateMaintenanceWindow`
+ `ssm:DeleteDocument`
+ `ssm:DeleteMaintenanceWindow`
+ `ssm:DeregisterTaskFromMaintenanceWindow`
+ `ssm:DescribeAutomationExecutions`
+ `ssm:DescribeDocument`
+ `ssm:DescribeInstanceInformation`
+ `ssm:DescribeMaintenanceWindowExecutions`
+ `ssm:GetCalendarState`
+ `ssm:GetDocument`
+ `ssm:GetMaintenanceWindowExecution`
+ `ssm:GetParameters`
+ `ssm:ListCommandInvocations`
+ `ssm:ListCommands`
+ `ssm:ListTagsForResource`
+ `ssm:RegisterTaskWithMaintenanceWindow`
+ `ssm:RemoveTagsFromResource`
+ `ssm:SendCommand`
+ `support:AddAttachmentsToSet`
+ `support:AddCommunicationToCase`
+ `support:DescribeCases`
**Étapes de document**
1. `aws:assertAwsResourceProperty`- Confirme que l'instance de base de données est en `available` bon état.
1. `aws:executeAwsApi`- Rassemble des informations sur l'instance de base de données.
1. `aws:executeScript`- Vérifie si le compartiment Amazon S3 spécifié dans le `S3BucketName` permet des autorisations d'accès anonymes ou publiques en lecture ou en écriture.
1. `aws:executeScript`- Extrait le contenu du CloudFormation modèle à partir de la pièce jointe du runbook Automation qui est utilisée pour créer les AWS ressources temporaires dans votre Compte AWS.
1. `aws:createStack`- Crée les ressources de la CloudFormation pile.
1. `aws:waitForAwsResourceProperty`- Attend que l'instance Amazon EC2 créée par le modèle soit en cours d' CloudFormation exécution.
1. `aws:executeAwsApi`- Obtient les identifiants de l'instance Amazon EC2 temporaire et de la connexion d'appairage VPC créée par. CloudFormation
1. `aws:executeAwsApi`- Obtient l'adresse IP de l'instance Amazon EC2 temporaire afin de configurer la connectivité avec votre instance de base de données.
1. `aws:executeAwsApi`- Balise le volume Amazon EBS attaché à l'instance Amazon EC2 temporaire.
1. `aws:waitForAwsResourceProperty`- Attend que l'instance temporaire Amazon EC2 passe les vérifications de statut.
1. `aws:waitForAwsResourceProperty`- Attend que l'instance temporaire Amazon EC2 soit gérée par Systems Manager. Si cette étape expire ou échoue, le runbook redémarre l'instance.
1. `aws:executeAwsApi`- Redémarre l'instance Amazon EC2 temporaire si l'étape précédente a échoué ou a expiré.
1. `aws:waitForAwsResourceProperty`- Attend que l'instance temporaire Amazon EC2 soit gérée par Systems Manager après le redémarrage.
1. `aws:runCommand`- Installe les exigences de l'application de collecte de métadonnées sur l'instance temporaire Amazon EC2.
1. `aws:runCommand`- Configure l'accès à votre instance de base de données en créant un fichier de configuration sur l'instance temporaire Amazon EC2.
1. `aws:executeAwsApi`- Crée une fenêtre de maintenance pour exécuter régulièrement l'application de collecte de métadonnées à l'aide de la commande Exécuter. La fenêtre de maintenance démarre et arrête l'instance entre les commandes.
1. `aws:waitForAwsResourceProperty`- Attend que la fenêtre de maintenance créée par le CloudFormation modèle soit prête.
1. `aws:executeAwsApi`- Récupère IDs la fenêtre de maintenance et le calendrier des modifications créés par CloudFormation.
1. `aws:sleep`- Attend la date de fin de la fenêtre de maintenance.
1. `aws:executeAwsApi`- Désactive la fenêtre de maintenance.
1. `aws:executeScript`- Obtient les résultats des tâches exécutées pendant la fenêtre de maintenance.
1. `aws:waitForAwsResourceProperty`- Attend que la fenêtre de maintenance termine la dernière tâche avant de continuer.
1. `aws:branch`- Branche le flux de travail selon que vous avez fourni ou non une valeur pour le `SupportCase` paramètre.
1. `aws:changeInstanceState`- Démarre l'instance Amazon EC2 temporaire et attend que les vérifications de statut soient passées avant de télécharger le rapport.
1. `aws:waitForAwsResourceProperty`- Attend que l'instance temporaire Amazon EC2 soit gérée par Systems Manager. Si cette étape expire ou échoue, le runbook redémarre l'instance.
1. `aws:executeAwsApi`- Redémarre l'instance Amazon EC2 temporaire si l'étape précédente a échoué ou a expiré.
1. `aws:waitForAwsResourceProperty`- Attend que l'instance temporaire Amazon EC2 soit gérée par Systems Manager après le redémarrage.
1. `aws:runCommand`- Joint le rapport de métadonnées au Support dossier si vous avez fourni une valeur pour le `SupportCase` paramètre. Le script compresse et divise le rapport en fichiers de 5 Mo. Le nombre maximum de fichiers que le script joint à un Support dossier est de 12.
1. `aws:changeInstanceState`- Arrête l'instance Amazon EC2 temporaire au cas où la CloudFormation pile ne serait pas supprimée.
1. `aws:executeAwsApi`- Décrit les événements de la CloudFormation pile si les runbooks ne parviennent pas à créer ou à mettre à jour la CloudFormation pile.
1. `aws:waitForAwsResourceProperty`- Attend que la CloudFormation pile soit en état de terminal avant de la supprimer.
1. `aws:executeAwsApi`- Supprime la CloudFormation pile à l'exception de la fenêtre de maintenance. Le volume Amazon EBS racine associé à l'instance Amazon EC2 temporaire est préservé si `EbsVolumeDeleteOnTermination` la valeur du paramètre a été définie sur. `false`
# `AWS-RebootRdsInstance`
**Description**
Le `AWS-RebootRdsInstance` runbook redémarre une instance de base de données Amazon Relational Database Service (Amazon RDS) si ce n'est déjà fait.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-RebootRdsInstance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : Chaîne
Description : (Obligatoire) L'ID de l'instance de base de données Amazon RDS que vous souhaitez redémarrer.
**Étapes de document**
RebootInstance - Redémarre l'instance de base de données si ce n'est pas déjà fait.
WaitForAvailableState - Attend que l'instance de base de données termine le processus de redémarrage.
**Sorties**
Cette automatisation n'a aucune sortie.
# `AWSSupport-ShareRDSSnapshot`
**Description**
Le `AWSSupport-ShareRDSSnapshot` runbook fournit une solution automatisée pour la procédure décrite dans l'article du centre de connaissances [Comment partager un instantané de base de données Amazon RDS chiffré avec un autre compte ?](https://aws.amazon.com/premiumsupport/knowledge-center/share-encrypted-rds-snapshot-kms-key/) Si votre instantané Amazon Relational Database Service (Amazon RDS) a été chiffré à l'aide de la Clé gérée par AWS valeur par défaut, vous ne pouvez pas partager l'instantané. Dans ce cas, vous devez copier l'instantané à l'aide d'une clé gérée par le client, puis partager l'instantané avec le compte cible. Cette automatisation exécute ces étapes en utilisant la valeur que vous spécifiez dans le `SnapshotName` paramètre ou le dernier instantané trouvé pour l'instance ou le cluster de base de données Amazon RDS sélectionné.
**Note**
Si vous ne spécifiez pas de valeur pour le `KMSKey` paramètre, l'automatisation crée une nouvelle clé gérée par le AWS KMS client dans votre compte qui est utilisée pour chiffrer l'instantané.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ShareRDSSnapshot)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AccountIds
Type : StringList
Description : (Obligatoire) Liste des comptes séparés par des IDs virgules avec lesquels partager l'instantané.
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Base de données
Type : String
Description : (Obligatoire) Le nom de l'instance ou du cluster de base de données Amazon RDS dont vous souhaitez partager l'instantané. Ce paramètre est facultatif si vous spécifiez une valeur pour le `SnapshotName` paramètre.
+ KMSKey
Type : String
Description : (Facultatif) Le nom de ressource Amazon complet (ARN) de la clé gérée par le AWS KMS client utilisée pour chiffrer l'instantané.
+ SnapshotName
Type : String
Description : (Facultatif) L'ID du cluster de base de données ou du snapshot d'instance que vous souhaitez utiliser.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `rds:DescribeDBInstances`
+ `rds:DescribeDBSnapshots`
+ `rds:CopyDBSnapshot`
+ `rds:ModifyDBSnapshotAttribute`
Les `AutomationAssumeRole` actions suivantes sont nécessaires pour démarrer correctement le runbook d'un cluster de base de données.
+ `ssm:StartAutomationExecution`
+ `rds:DescribeDBClusters`
+ `rds:DescribeDBClusterSnapshots`
+ `rds:CopyDBClusterSnapshot`
+ `rds:ModifyDBClusterSnapshotAttribute`
Le rôle IAM utilisé pour exécuter l'automatisation doit être ajouté en tant qu'utilisateur clé pour utiliser la clé KMS spécifiée dans le `ARNKmsKey` paramètre. Pour plus d'informations sur l'ajout d'utilisateurs clés à une clé KMS, consultez la section [Modification d'une politique clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) dans le *guide du AWS Key Management Service développeur*.
Les `AutomationAssumeRole` actions supplémentaires suivantes sont nécessaires pour démarrer correctement le runbook si vous ne spécifiez aucune valeur pour le `KMSKey` paramètre.
+ `kms:CreateKey`
+ `kms:ScheduleKeyDeletion`
+ `kms:CreateGrant`
+ `kms:DescribeKey`
**Étapes de document**
1. `aws:executeScript`- Vérifie si une valeur a été fournie pour le `KMSKey` paramètre et crée une clé gérée par le AWS KMS client si aucune valeur n'est trouvée.
1. `aws:branch`- Vérifie si une valeur a été fournie pour le `SnapshotName` paramètre et branche en conséquence.
1. `aws:executeAwsApi`- Vérifie si le snapshot fourni provient d'une instance de base de données.
1. `aws:executeScript`- Formate le `SnapshotName` paramètre en remplaçant les deux points par un trait d'union.
1. `aws:executeAwsApi`- Copie le cliché à l'aide de la commande spécifiée`KMSKey`.
1. `aws:waitForAwsResourceProperty`- Attend la fin de l'opération de copie instantanée.
1. `aws:executeAwsApi`- Partage le nouvel instantané avec le cliché `AccountIds` spécifié.
1. `aws:executeAwsApi`- Vérifie si le snapshot fourni provient d'un cluster de base de données.
1. `aws:executeScript`- Formate le `SnapshotName` paramètre en remplaçant les deux points par un trait d'union.
1. `aws:executeAwsApi`- Copie le cliché à l'aide de la commande spécifiée`KMSKey`.
1. `aws:waitForAwsResourceProperty`- Attend la fin de l'opération de copie instantanée.
1. `aws:executeAwsApi`- Partage le nouvel instantané avec le cliché `AccountIds` spécifié.
1. `aws:executeAwsApi`- Vérifie si la valeur fournie pour le `Database` paramètre est une instance de base de données.
1. `aws:executeAwsApi`- Vérifie si la valeur fournie pour le `Database` paramètre est un cluster de base de données.
1. `aws:executeAwsApi`- Récupère une liste d'instantanés pour le fichier spécifié. `Database`
1. `aws:executeScript`- Détermine le dernier instantané disponible à partir de la liste compilée à l'étape précédente.
1. `aws:executeAwsApi`- Copie le snapshot de l'instance de base de données en utilisant le paramètre spécifié`KMSKey`.
1. `aws:waitForAwsResourceProperty`- Attend la fin de l'opération de copie instantanée.
1. `aws:executeAwsApi`- Partage le nouvel instantané avec le cliché `AccountIds` spécifié.
1. `aws:executeAwsApi`- Récupère une liste d'instantanés pour le fichier spécifié. `Database`
1. `aws:executeScript`- Détermine le dernier instantané disponible à partir de la liste compilée à l'étape précédente.
1. `aws:executeAwsApi`- Copie le snapshot de l'instance de base de données en utilisant le paramètre spécifié`KMSKey`.
1. `aws:waitForAwsResourceProperty`- Attend la fin de l'opération de copie instantanée.
1. `aws:executeAwsApi`- Partage le nouvel instantané avec le cliché `AccountIds` spécifié.
1. `aws:executeScript`- Supprime la clé gérée par le AWS KMS client créée par l'automatisation si vous n'avez pas spécifié de valeur pour le `KMSKey` paramètre et que l'automatisation échoue.
# `AWS-StartRdsInstance`
**Description**
Démarrez une instance Amazon Relational Database Service (Amazon RDS).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-StartRdsInstance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : Chaîne
Description : ID (obligatoire) de l'instance Amazon RDS à démarrer.
# `AWS-StartStopAuroraCluster`
**Description**
Ce runbook démarre ou arrête un cluster Amazon Aurora.
**Note**
Pour démarrer un cluster, celui-ci doit avoir un `stopped` statut. Pour arrêter un cluster, il doit avoir un `available` statut. Ce runbook ne peut pas être utilisé pour démarrer ou arrêter un cluster Aurora Serverless v1, un cluster multi-maîtres Aurora, faisant partie d'une base de données globale Aurora ou un cluster utilisant la requête parallèle Aurora. Le runbook peut être utilisé pour arrêter et démarrer un cluster Aurora Serverless v2.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-StartStopAuroraCluster)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ ClusterName
Type : Chaîne
Description : (Obligatoire) Nom du cluster Aurora que vous souhaitez arrêter ou démarrer.
+ Action
Type : Chaîne
Valeurs valides : Start \$1 Stop
Par défaut : Démarrer
Description : (Obligatoire) Nom du cluster Aurora que vous souhaitez arrêter ou démarrer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `rds:DescribeDBClusters`
+ `rds:StartDBCluster`
+ `rds:StopDBCluster`
**Étapes de document**
+ `aws:executeScript`- Démarre ou arrête le cluster en fonction des valeurs que vous spécifiez pour le.
**Sorties**
StartStopAuroraCluster. ClusterName - Le nom du cluster Aurora
StartStopAuroraCluster. CurrentStatus - L'état actuel du cluster Aurora
StartStopAuroraCluster.Message - Détails de l'automatisation
# `AWS-StopRdsInstance`
**Description**
Arrêtez une instance Amazon Relational Database Service (Amazon RDS).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-StopRdsInstance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : Chaîne
Description : ID (obligatoire) de l'instance Amazon RDS à arrêter.
# `AWSSupport-TroubleshootConnectivityToRDS`
**Description**
Le `AWSSupport-TroubleshootConnectivityToRDS` runbook diagnostique les problèmes de connectivité entre une instance EC2 et une instance Amazon Relational Database Service. L'automatisation garantit la disponibilité de l'instance de base de données, puis vérifie les règles de groupe de sécurité associées, les listes de contrôle d'accès réseau (réseau ACLs) et les tables de routage pour détecter d'éventuels problèmes de connectivité.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootConnectivityToRDS)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ DBInstanceIdentifiant
Type : Chaîne
Description : (Obligatoire) L’ID de l’instance de DB pour tester la connectivité.
+ SourceInstance
Type : Chaîne
Modèle autorisé : ^i-[a-z0-9]\$18,17\$1\$1
Description : (obligatoire) ID de l'instance EC2 à partir de laquelle tester la connectivité.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:DescribeInstances`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `rds:DescribeDBInstances`
**Étapes de document**
+ `aws:assertAwsResourceProperty`- Confirme que le statut de l'instance de base de données est`available`.
+ `aws:executeAwsApi`- Obtient des informations sur l'instance de base de données.
+ `aws:executeAwsApi`- Obtient des informations sur le réseau d'instances de base de données ACLs.
+ `aws:executeAwsApi`- Obtient le CIDR du sous-réseau de l'instance de base de données.
+ `aws:executeAwsApi`- Obtient des informations sur l'instance EC2.
+ `aws:executeAwsApi`- Obtient des informations sur le réseau ACLs d'instances EC2.
+ `aws:executeAwsApi`- Obtient des informations sur les groupes de sécurité associés à l'instance EC2.
+ `aws:executeAwsApi`- Obtient des informations sur les groupes de sécurité associés à l'instance de base de données.
+ `aws:executeAwsApi`- Obtient des informations sur les tables de routage associées à l'instance EC2.
+ `aws:executeAwsApi`- Obtient des informations sur la table de routage principale associée au VPC Amazon pour l'instance EC2.
+ `aws:executeAwsApi`- Obtient des informations sur les tables de routage associées à l'instance de base de données.
+ `aws:executeAwsApi`- Obtient des informations sur la table de routage principale associée au VPC Amazon pour l'instance de base de données.
+ `aws:executeScript`- Évalue les règles du groupe de sécurité.
+ `aws:executeScript`- Évalue le réseau. ACLs
+ `aws:executeScript`- Évalue les tables de routage.
+ `aws:sleep`- Met fin à l'automatisation.
**Sorties**
obtenir les RDSInstance propriétés. DBInstanceIdentifiant : instance de base de données utilisée dans l'automatisation.
obtenir les RDSInstance propriétés. DBInstanceÉtat - L'état actuel du DBInstance.
evalSecurityGroupRègles. SecurityGroupEvaluation - Résultats de la comparaison des règles du groupe `SourceInstance` de sécurité avec les règles du groupe de sécurité de l'instance de base de données.
evalNetworkAclRègles. NetworkAclEvaluation - Résultats de la comparaison du `SourceInstance` réseau avec le réseau ACLs d'instances de base de données ACLs.
evalRouteTableEntrées. RouteTableEvaluation - Résultats de la comparaison de la table de `SourceInstance` routage avec les routes de l'instance de base de données.
# `AWSSupport-TroubleshootRDSIAMAuthentication`
**Description**
Permet `AWSSupport-TroubleshootRDSIAMAuthentication` de résoudre les problèmes d'authentification Gestion des identités et des accès AWS (IAM) pour Amazon RDS pour PostgreSQL, Amazon RDS pour MySQL, Amazon RDS pour MariaDB, Amazon Aurora PostgreSQL et Amazon Aurora MySQL. Utilisez ce runbook pour vérifier la configuration requise pour l'authentification IAM avec une instance Amazon RDS ou un cluster Aurora. Il fournit également des étapes pour corriger les problèmes de connectivité liés à l'instance Amazon RDS ou au cluster Aurora.
**Important**
Ce runbook ne prend pas en charge Amazon RDS pour Oracle ou Amazon RDS pour Microsoft SQL Server.
**Important**
Si une instance Amazon EC2 source est fournie et que la base de données cible est Amazon RDS, une automatisation secondaire `AWSSupport-TroubleshootConnectivityToRDS` est invoquée pour résoudre les problèmes de connectivité TCP. La sortie fournit également des commandes que vous pouvez exécuter sur votre instance Amazon EC2 ou sur votre machine source pour vous connecter aux instances Amazon RDS à l'aide de l'authentification IAM.
**Fonctionnement**
Ce runbook comprend six étapes :
+ **Étape 1 : Valider les entrées :** valide les entrées de l'automatisation.
+ **Étape 2 : branchOnSource EC2 Fourni :** vérifie si un ID d'instance Amazon EC2 source est fourni dans les paramètres d'entrée.
+ **Étape 3 : validation RDSConnectivity : valide** la connectivité Amazon RDS à partir de l'instance Amazon EC2 source, si elle est fournie.
+ **Étape 4 : valider RDSIAMAuthentication :** valide si la fonctionnalité d'authentification IAM est activée.
+ **Étape 5 : validation IAMPolicies :** vérifie si les autorisations IAM requises sont présentes dans l'utilisateur/le rôle IAM fourni.
+ **Étape 6 : Générer un rapport :** génère un rapport des résultats des étapes précédemment exécutées.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDSIAMAuthentication)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ RDSType
Type : Chaîne
Description : (Obligatoire) : Sélectionnez le type de base de données relationnelle à laquelle vous essayez de vous connecter et de vous authentifier.
Valeurs autorisées : `Amazon RDS` ou `Amazon Aurora Cluster.`
+ DBInstanceIdentifiant
Type : Chaîne
Description : (Obligatoire) L'identifiant de l'instance de base de données Amazon RDS ou du cluster de base de données Aurora cible.
Modèle autorisé : `^[A-Za-z0-9]+(-[A-Za-z0-9]+)*$`
Nombre maximum de caractères : 63
+ SourceEc2InstanceIdentifier
Type : `AWS::EC2::Instance::Id`
Description : (Facultatif) L'ID de l'instance Amazon EC2 si vous vous connectez à l'instance de base de données Amazon RDS à partir d'une instance Amazon EC2 exécutée dans le même compte et dans la même région. Ne spécifiez pas ce paramètre si la source n'est pas une instance Amazon EC2 ou si le type Amazon RDS cible est un cluster de base de données Aurora.
Valeur par défaut : `""`
+ DBIAMRoleNom
Type : Chaîne
Description : (Facultatif) Le nom du rôle IAM utilisé pour l'authentification basée sur IAM. Indiquez uniquement si le paramètre n'`DBIAMUserName`est pas fourni, sinon laissez-le vide. Il faut fournir soit `DBIAMRoleName` soit `DBIAMUserName`.
Modèle autorisé : `^[a-zA-Z0-9+=,.@_-]{1,64}$|^$`
Nombre maximum de caractères : 64
Valeur par défaut : `""`
+ DBIAMUserNom
Type : Chaîne
Description : (Facultatif) Le nom d'utilisateur IAM utilisé pour l'authentification basée sur IAM. Indiquez uniquement si le `DBIAMRoleName` paramètre n'est pas fourni, sinon laissez-le vide. Il faut fournir soit `DBIAMRoleName` soit `DBIAMUserName`.
Modèle autorisé : `^[a-zA-Z0-9+=,.@_-]{1,64}$|^$`
Nombre maximum de caractères : 64
Valeur par défaut : `""`
+ DBUserNom
Type : Chaîne
Description : (Facultatif) Le nom d'utilisateur de la base de données mappé à un IAM role/user pour l'authentification basée sur l'IAM au sein de la base de données. L'option par défaut `*` évalue si l'`rds-db:connect`autorisation est accordée à tous les utilisateurs de la base de données.
Modèle autorisé : `^[a-zA-Z0-9+=,.@*_-]{1,64}$`
Nombre maximum de caractères : 64
Valeur par défaut : `*`
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:DescribeInstances`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `iam:GetPolicy`
+ `iam:GetRole`
+ `iam:GetUser`
+ `iam:ListAttachedRolePolicies`
+ `iam:ListAttachedUserPolicies`
+ `iam:ListRolePolicies`
+ `iam:ListUserPolicies`
+ `iam:SimulatePrincipalPolicy`
+ `rds:DescribeDBClusters`
+ `rds:DescribeDBInstances`
+ `ssm:DescribeAutomationStepExecutions`
+ `ssm:GetAutomationExecution`
+ `ssm:StartAutomationExecution`
**Instructions**
1. Accédez au [AWSSupport-TroubleshootRDSIAMAuthentication](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDSIAMAuthentication)dans la AWS Systems Manager console.
1. Sélectionnez **Exécuter l'automatisation**
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole(Facultatif) :**
Amazon Resource Name (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **RDSType(Obligatoire) :**
Sélectionnez le type d'Amazon RDS auquel vous essayez de vous connecter et de vous authentifier. Choisissez l'une des deux valeurs autorisées : `Amazon RDS` ou `Amazon Aurora Cluster.`
+ **DBInstanceIdentifiant (obligatoire) :**
Entrez l'identifiant de l'instance de base de données Amazon RDS cible ou du cluster Aurora auquel vous essayez de vous connecter et utilisez les informations d'identification IAM pour l'authentification.
+ **SourceEc2 InstanceIdentifier (Facultatif) :**
Fournissez l'ID de l'instance Amazon EC2 si vous vous connectez à l'instance de base de données Amazon RDS à partir d'une instance Amazon EC2 présente dans le même compte et dans la même région. Laissez ce champ vide si la source n'est pas Amazon EC2 ou si le type Amazon RDS cible est un cluster Aurora.
+ **DBIAMRoleNom (facultatif) :**
Entrez le nom du rôle IAM utilisé pour l'authentification basée sur IAM. Indiquez uniquement si `DBIAMUserName` ce n'est pas le cas ; dans le cas contraire, laissez le champ vide. Il faut fournir soit `DBIAMRoleName` soit `DBIAMUserName`.
+ **DBIAMUserNom (facultatif) :**
Entrez l'utilisateur IAM utilisé pour l'authentification basée sur IAM. Indiquez uniquement si `DBIAMRoleName` ce n'est pas le cas, sinon, laissez le champ vide. Il faut fournir soit `DBIAMRoleName` soit `DBIAMUserName`.
+ **DBUserNom (facultatif) :**
Entrez l'utilisateur de base de données mappé à un rôle/utilisateur IAM pour l'authentification basée sur IAM au sein de la base de données. L'option par défaut `*` est utilisée pour évaluer ; rien n'est fourni dans ce champ.
![\[Input parameters form for AWS Systems Manager with fields for EC2 instance and database configuration.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-rds-iam-authentication_input_parameters.png)
1. Sélectionnez **Exécuter**.
1. Notez que l'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **Étape 1 : valider les entrées :**
Valide les entrées de l'automatisation - `SourceEC2InstanceIdentifier` (facultatif), `DBInstanceIdentifier` ou`ClusterID`, et `DBIAMRoleName` ou`DBIAMUserName`. Il vérifie si les paramètres de saisie sont présents dans votre compte et dans votre région. Il vérifie également si l'utilisateur a saisi l'un des paramètres IAM (par exemple, `DBIAMRoleName` ou`DBIAMUserName`). En outre, il effectue d'autres vérifications, par exemple si la base de données mentionnée est dans le statut Disponible.
+ **Étape 2 : À branchOnSource EC2 condition que :**
Vérifie si la source Amazon EC2 est fournie dans les paramètres d'entrée et si la base de données est Amazon RDS. Dans l'affirmative, il passe à l'étape 3. Dans le cas contraire, il ignore l'étape 3, qui est la validation de la connectivité Amazon EC2-Amazon RDS, et passe à l'étape 4.
+ **Étape 3 : valider RDSConnectivity :**
Si la source Amazon EC2 est fournie dans les paramètres d'entrée et que la base de données est Amazon RDS, l'étape 2 lance l'étape 3. Au cours de cette étape, l'automatisation secondaire `AWSSupport-TroubleshootConnectivityToRDS` est invoquée pour valider la connectivité Amazon RDS à partir de la source Amazon EC2. Le manuel d'automatisation des enfants `AWSSupport-TroubleshootConnectivityToRDS` vérifie si les configurations réseau requises (Amazon Virtual Private Cloud [Amazon VPC], groupes de sécurité, liste de contrôle d'accès réseau [NACL], disponibilité d'Amazon RDS) sont en place afin que vous puissiez vous connecter de l'instance Amazon EC2 à l'instance Amazon RDS.
+ **Étape 4 : valider RDSIAMAuthentication :**
Valide si la fonctionnalité d'authentification IAM est activée sur l'instance Amazon RDS ou le cluster Aurora.
+ **Étape 5 : valider IAMPolicies :**
Vérifie si les autorisations IAM requises sont présentes dans l'IAM user/role transmis pour permettre aux informations d'identification IAM de s'authentifier dans l'instance Amazon RDS pour l'utilisateur de base de données spécifié (le cas échéant).
+ **Étape 6 : Générer un rapport :**
Obtient toutes les informations des étapes précédentes et imprime le résultat ou le résultat de chaque étape. Il répertorie également les étapes à suivre et à effectuer pour se connecter à l'instance Amazon RDS à l'aide des informations d'identification IAM.
1. Lorsque l'automatisation est terminée, consultez la section **Sorties** pour obtenir les résultats détaillés :
+ **Vérification de l'autorisation utilisateur/rôle IAM pour se connecter à la base de données :**
Vérifie si les autorisations IAM requises sont présentes dans l'IAM user/role transmis pour permettre aux informations d'identification IAM de s'authentifier auprès de l'instance Amazon RDS pour l'utilisateur de base de données spécifié (le cas échéant).
+ **Vérification de l'attribut d'authentification basé sur IAM pour la base de données :**
Vérifie si la fonctionnalité d'authentification IAM est activée pour la base de données Amazon RDS ou le cluster Aurora spécifiés.
+ **Vérification de la connectivité entre une instance Amazon EC2 et une instance Amazon RDS :**
Vérifie si les configurations réseau requises (Amazon VPC, groupes de sécurité, NACL, disponibilité d'Amazon RDS) sont en place afin que vous puissiez vous connecter de l'instance Amazon EC2 à l'instance Amazon RDS.
+ **Étapes suivantes:**
Répertorie les commandes et les étapes à suivre et à exécuter pour se connecter à l'instance Amazon RDS à l'aide des informations d'identification IAM.
![\[Troubleshooting results for IAM permissions and authentication for an Aurora MySQL database.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-rds-iam-authentication_outputs.png)
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDSIAMAuthentication)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
# `AWSSupport-ValidateRdsNetworkConfiguration`
**Description**
`AWSSupport-ValidateRdsNetworkConfiguration`l'automatisation permet d'éviter un état de réseau incompatible pour votre instance Amazon Relational Database Service (Amazon RDS) /Amazon Aurora/Amazon DocumentDB existante avant l'exécution ou l'opération. `ModifyDBInstance` `StartDBInstance` Si l'instance est déjà dans un état de réseau incompatible, le runbook en fournira la raison.
**Fonctionnement**
Ce runbook détermine si votre instance de base de données Amazon RDS va passer dans un état de réseau incompatible, ou si c'est le cas, détermine la raison pour laquelle elle se trouve dans un état de réseau incompatible.
Le runbook effectue les vérifications suivantes par rapport à votre instance de base de données Amazon RDS :
+ Quota Amazon Elastic Network Interface (ENI) par région.
+ Tous les sous-réseaux du groupe de sous-réseaux de base de données existent.
+ Il existe suffisamment d'adresses IP gratuites disponibles pour le ou les sous-réseaux.
+ (Pour les instances Amazon RDS accessibles au public) Paramètres des attributs VPC `enableDnsSupport` (`enableDnsHostnames`et).
**Important**
Lorsque vous utilisez ce document sur des clusters Amazon Aurora/Amazon DocumentDB, assurez-vous de l'utiliser à la `DBInstanceIdentifier` place de. `ClusterIdentifier` Dans le cas contraire, le document échouera lors de la première étape.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ValidateRdsNetworkConfiguration)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `rds:DescribeDBInstances`
+ `servicequotas:GetServiceQuota`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeVpcAttribute`
+ `ec2:DescribeSubnets`
Exemple de politique :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ValidateRdsNetwork",
"Effect": "Allow",
"Action": [
"rds:DescribeDBInstances",
"servicequotas:GetServiceQuota",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcAttribute",
"ec2:DescribeSubnets"
],
"Resource": [
"arn:aws:rds:us-east-1:111122223333:db:db-instance-name"
]
}
]
}
```
------
**Instructions**
1. Accédez au [AWSSupport-ValidateRdsNetworkConfiguration](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ValidateRdsNetworkConfiguration)dans la AWS Systems Manager console.
1. Sélectionnez **Exécuter l'automatisation**
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole(Facultatif) :**
Amazon Resource Name (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **DBInstanceIdentifiant (obligatoire) :**
Entrez l'identifiant de l'instance Amazon Relational Database Service.
![\[Input parameters form with AutomationAssumeRole and DBInstanceIdentifier fields.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-validate-rds-network-configuration_input_parameters.png)
1. Sélectionnez **Exécuter**.
1. Notez que l'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **Étape 1 assertRdsState :**
Vérifie si l'identifiant d'instance fourni existe et possède l'un des états suivants : `available``stopped`, ou`incompatible-network`.
+ **Étape 2 gatherRdsInformation :**
Recueille les informations requises sur l'instance Amazon RDS à utiliser ultérieurement dans le cadre de l'automatisation.
+ **Étape 3 checkEniQuota :**
Vérifie le quota actuellement disponible d'Amazon ENI pour la région.
+ **Étape 4 validateVpcAttributes :**
Valide que les paramètres DNS (`enableDnsSupport`et`enableDnsHostnames`) de l'Amazon VPC sont définis sur true (ou non si l'instance Amazon RDS l'est). `PubliclyAccessible`
+ **Étape 5 validateSubnetAttributes :**
Valide l'existence de sous-réseaux dans le `DBSubnetGroup` et vérifie s'ils sont disponibles IPs pour chaque sous-réseau.
+ **Étape 6 : Générer un rapport :**
Obtient toutes les informations des étapes précédentes et imprime le résultat ou le résultat de chaque étape. Il répertorie également les étapes à suivre et à effectuer pour se connecter à l'instance Amazon RDS à l'aide des informations d'identification IAM.
1. Lorsque l'automatisation est terminée, consultez la section **Sorties** pour obtenir les résultats détaillés :
Instance Amazon RDS avec configuration réseau valide :
![\[Report showing successful AWS RDS network configuration checks with all items passed.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-validate-rds-network-configuration_outputs_valid_network.png)
Instance Amazon RDS avec une configuration réseau incorrecte (l' enableDnsHostnames attribut VPC est défini sur false) :
![\[Network configuration report showing issues and troubleshooting results for an RDS instance.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-validate-rds-network-configuration_outputs_invalid_network.png)
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ValidateRdsNetworkConfiguration)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
AWS documentation de service
+ [Comment résoudre les problèmes liés à une base de données Amazon RDS dont l'état de réseau est incompatible ?](https://repost.aws/knowledge-center/rds-incompatible-network)
+ [Comment résoudre les problèmes liés à une instance Amazon DocumentDB dont l'état de réseau est incompatible ?](https://repost.aws/knowledge-center/documentdb-incompatible-network)
# Amazon Redshift
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon Redshift. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSConfigRemediation-DeleteRedshiftCluster`](automation-aws-delete-redshift.md)
+ [`AWSConfigRemediation-DisablePublicAccessToRedshiftCluster`](automation-aws-disable-redshift-public-access.md)
+ [`AWSConfigRemediation-EnableRedshiftClusterAuditLogging`](automation-aws-enable-redshift-audit.md)
+ [`AWSConfigRemediation-EnableRedshiftClusterAutomatedSnapshot`](automation-aws-enable-redshift-snapshot.md)
+ [`AWSConfigRemediation-EnableRedshiftClusterEncryption`](automation-aws-enable-redshift-encrypt.md)
+ [`AWSConfigRemediation-EnableRedshiftClusterEnhancedVPCRouting`](automation-aws-enable-redshift-enhanced-routing.md)
+ [`AWSConfigRemediation-EnforceSSLOnlyConnectionsToRedshiftCluster`](automation-aws-enforce-redshift-ssl-only.md)
+ [`AWSConfigRemediation-ModifyRedshiftClusterMaintenanceSettings`](automation-aws-modify-redshift-maintenance.md)
+ [`AWSConfigRemediation-ModifyRedshiftClusterNodeType`](automation-aws-modify-redshift-cluster-node.md)
# `AWSConfigRemediation-DeleteRedshiftCluster`
**Description**
Le `AWSConfigRemediation-DeleteRedshiftCluster` runbook supprime le cluster Amazon Redshift que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteRedshiftCluster)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ ClusterIdentifier
Type : Chaîne
Description : (Obligatoire) L'ID du cluster Amazon Redshift que vous souhaitez supprimer.
+ SkipFinalClusterSnapshot
Type : Boolean
Valeur par défaut : false
Description : (Facultatif) Si ce paramètre est défini sur`false`, l'automatisation crée un instantané avant de supprimer le cluster Amazon Redshift. Si ce paramètre est défini sur`true`, aucun instantané final du cluster n'est créé.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `redshift:DeleteCluster`
+ `redshift:DescribeClusters`
**Étapes de document**
+ `aws:branch`- Branches basées sur la valeur que vous spécifiez pour le `SkipFinalClusterSnapshot` paramètre.
+ `aws:executeAwsApi`- Supprime le cluster Amazon Redshift spécifié dans `ClusterIdentifier` le paramètre.
+ `aws:assertAwsResourceProperty`- Vérifie que le cluster Amazon Redshift a été supprimé.
# `AWSConfigRemediation-DisablePublicAccessToRedshiftCluster`
**Description**
Le `AWSConfigRemediation-DisablePublicAccessToRedshiftCluster` runbook désactive l'accessibilité publique pour le cluster Amazon Redshift que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DisablePublicAccessToRedshiftCluster)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ ClusterIdentifier
Type : Chaîne
Description : (Obligatoire) L'identifiant unique du cluster pour lequel vous souhaitez désactiver l'accessibilité publique.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `redshift:DescribeClusters`
+ `redshift:ModifyCluster`
**Étapes de document**
+ `aws:executeAwsApi`- Désactive l'accessibilité publique pour le cluster spécifié dans le `ClusterIdentifier` paramètre.
+ `aws:waitForAwsResourceProperty`- Attend que l'état du cluster passe à`available`.
+ `aws:assertAwsResourceProperty`- Confirme que le paramètre d'accessibilité publique est désactivé sur le cluster.
# `AWSConfigRemediation-EnableRedshiftClusterAuditLogging`
**Description**
Le `AWSConfigRemediation-EnableRedshiftClusterAuditLogging` runbook active la journalisation des audits pour le cluster Amazon Redshift que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableRedshiftClusterAuditLogging)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ BucketName
Type : Chaîne
Description : (Obligatoire) Le nom du compartiment Amazon Simple Storage Service (Amazon S3) dans lequel vous souhaitez télécharger les journaux.
+ ClusterIdentifier
Type : Chaîne
Description : (Obligatoire) L'identifiant unique du cluster sur lequel vous souhaitez activer la connexion aux audits.
+ S3 KeyPrefix
Type : Chaîne
Description : (Facultatif) Le préfixe de clé Amazon S3 (sous-dossier) vers lequel vous souhaitez télécharger les journaux.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `redshift:DescribeLoggingStatus`
+ `redshift:EnableLogging`
+ `s3:GetBucketAcl`
+ `s3:PutObject`
**Étapes de document**
+ `aws:branch`- Branches selon qu'une valeur a été spécifiée ou non pour le `S3KeyPrefix` paramètre.
+ `aws:executeAwsApi`- Active la journalisation des audits sur le cluster spécifié dans le `ClusterIdentifier` paramètre.
+ `aws:assertAwsResourceProperty`- Vérifie que la journalisation des audits a été activée sur le cluster.
# `AWSConfigRemediation-EnableRedshiftClusterAutomatedSnapshot`
**Description**
Le `AWSConfigRemediation-EnableRedshiftClusterAutomatedSnapshot` runbook permet de créer des instantanés automatisés pour le cluster Amazon Redshift que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableRedshiftClusterAutomatedSnapshot)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ AutomatedSnapshotRetentionPeriod
Type : Integer
Valeurs valides : 1 à 35
Description : (Obligatoire) Nombre de jours pendant lesquels les instantanés automatisés sont conservés.
+ ClusterIdentifier
Type : Chaîne
Description : (Obligatoire) L'identifiant unique du cluster sur lequel vous souhaitez activer les instantanés automatisés.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `redshift:DescribeClusters`
+ `redshift:ModifyCluster`
**Étapes de document**
+ `aws:executeAwsApi`- Active les instantanés d'automatisation sur le cluster spécifié dans le `ClusterIdentifier` paramètre.
+ `aws:waitForAwsResourceProperty`- Attend que l'état du cluster passe à`available`.
+ `aws:executeScript`- Confirme que les instantanés automatisés ont été activés sur le cluster.
# `AWSConfigRemediation-EnableRedshiftClusterEncryption`
**Description**
Le `AWSConfigRemediation-EnableRedshiftClusterEncryption` runbook active le chiffrement sur le cluster Amazon Redshift que vous spécifiez à l'aide AWS Key Management Service d'une clé gérée par le client AWS KMS(). Ce runbook ne doit être utilisé que comme référence pour garantir que vos clusters Amazon Redshift sont chiffrés conformément aux meilleures pratiques de sécurité minimales recommandées. Nous recommandons de chiffrer plusieurs clusters avec différentes clés gérées par le client. Ce runbook ne peut pas modifier la clé gérée par le AWS KMS client utilisée sur un cluster déjà chiffré. Pour modifier la clé gérée par le AWS KMS client utilisée pour chiffrer un cluster, vous devez d'abord désactiver le chiffrement sur le cluster.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableRedshiftClusterEncryption)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ ClusterIdentifier
Type : Chaîne
Description : (Obligatoire) L'identifiant unique du cluster sur lequel vous souhaitez activer le chiffrement.
+ KMSKeyARN
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) de la clé gérée par le AWS KMS client que vous souhaitez utiliser pour chiffrer les données du cluster.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `redshift:DescribeClusters`
+ `redshift:ModifyCluster`
**Étapes de document**
+ `aws:executeAwsApi`- Active le chiffrement sur le cluster Amazon Redshift spécifié dans le `ClusterIdentifier` paramètre.
+ `aws:assertAwsResourceProperty`- Vérifie que le chiffrement a été activé sur le cluster.
# `AWSConfigRemediation-EnableRedshiftClusterEnhancedVPCRouting`
**Description**
Le `AWSConfigRemediation-EnableRedshiftClusterEnhancedVPCRouting` runbook permet un routage amélioré du cloud privé virtuel (VPC) pour le cluster Amazon Redshift que vous spécifiez. Pour plus d'informations sur le routage VPC amélioré, consultez le routage [VPC amélioré Amazon Redshift dans le guide](https://docs.aws.amazon.com/redshift/latest/gsg/enhanced-vpc-routing.html) de gestion *Amazon* Redshift.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableRedshiftClusterEnhancedVPCRouting)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ ClusterIdentifier
Type : Chaîne
Description : (Obligatoire) L'identifiant unique du cluster sur lequel vous souhaitez activer le routage VPC amélioré.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `redshift:DescribeClusters`
+ `redshift:ModifyCluster`
**Étapes de document**
+ `aws:executeAwsApi`- Active le routage VPC amélioré sur le cluster spécifié dans le `ClusterIdentifier` paramètre.
+ `assertAwsResourceProperty`- Confirme que le routage VPC amélioré a été activé sur le cluster.
# `AWSConfigRemediation-EnforceSSLOnlyConnectionsToRedshiftCluster`
**Description**
Le `AWSConfigRemediation-EnforceSSLOnlyConnectionsToRedshiftCluster` runbook nécessite des connexions entrantes pour utiliser le protocole SSL pour le cluster Amazon Redshift que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnforceSSLOnlyConnectionsToRedshiftCluster)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ ClusterIdentifier
Type : Chaîne
Description : (Obligatoire) L'identifiant unique du cluster sur lequel vous souhaitez activer le routage VPC amélioré.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `redshift:DescribeClusters`
+ `redshift:DescribeClusterParameters`
+ `redshift:ModifyClusterParameterGroup`
**Étapes de document**
+ `aws:executeAwsApi`- Recueille les détails des paramètres à partir du cluster spécifié dans le `ClusterIdentifier` paramètre.
+ `aws:executeAwsApi`- Active le `require_ssl` réglage sur le cluster spécifié dans le `ClusterIdentifier` paramètre.
+ `aws:assertAwsResourceProperty`- Confirme que le `require_ssl` paramètre a été activé sur le cluster.
+ `aws:executeScript`- Vérifie le `require_ssl` réglage du cluster.
# `AWSConfigRemediation-ModifyRedshiftClusterMaintenanceSettings`
**Description**
Le `AWSConfigRemediation-ModifyRedshiftClusterMaintenanceSettings` runbook modifie les paramètres de maintenance du cluster Amazon Redshift que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-ModifyRedshiftClusterMaintenanceSettings)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AllowVersionUpgrade
Type : Boolean
Description : (Obligatoire) Si ce paramètre est défini sur`true`, les mises à niveau des versions majeures sont appliquées automatiquement au cluster pendant la période de maintenance.
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ AutomatedSnapshotRetentionPeriod
Type : Integer
Valeurs valides : 1 à 35
Description : (Obligatoire) Nombre de jours pendant lesquels les instantanés automatisés sont conservés.
+ ClusterIdentifier
Type : Chaîne
Description : (Obligatoire) L'identifiant unique du cluster sur lequel vous souhaitez activer le routage VPC amélioré.
+ PreferredMaintenanceWindow
Type : Chaîne
Description : (Obligatoire) La plage horaire hebdomadaire (en UTC) pendant laquelle la maintenance du système peut avoir lieu.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `redshift:DescribeClusters`
+ `redshift:ModifyCluster`
**Étapes de document**
+ `aws:executeAwsApi`- Modifie les paramètres de maintenance pour le cluster spécifié dans le `ClusterIdentifier` paramètre.
+ `aws:assertAwsResourceProperty`- Confirme que les paramètres de maintenance modifiés ont été configurés pour le cluster.
# `AWSConfigRemediation-ModifyRedshiftClusterNodeType`
**Description**
Le `AWSConfigRemediation-ModifyRedshiftClusterNodeType` runbook modifie le type de nœud et le nombre de nœuds pour le cluster Amazon Redshift que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-ModifyRedshiftClusterNodeType)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Bases de données
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ Classique
Type : Boolean
Description : (Facultatif) Si ce paramètre est défini sur`true`, l'opération de redimensionnement utilise le processus de redimensionnement classique.
+ ClusterIdentifier
Type : Chaîne
Description : (Obligatoire) L'identifiant unique du cluster dont vous souhaitez modifier le type de nœud.
+ ClusterType
Type : Chaîne
Valeurs valides : nœud unique \$1 nœud multiple
Description : (Obligatoire) Type de cluster que vous souhaitez attribuer à votre cluster.
+ NodeType
Type : Chaîne
Valeurs valides : ds2.xlarge \$1 ds2.8xlarge \$1 dc1.large \$1 dc1.8xlarge \$1 dc2.large \$1 dc2.8xlarge \$1 ra3.4xlarge \$1 ra3.16xlarge
Description : (Obligatoire) Type de nœud que vous souhaitez attribuer à votre cluster.
+ NumberOfNodes
Type : Integer
Valeurs valides : 2 à 100
Description : (Facultatif) Le nombre de nœuds que vous souhaitez attribuer à votre cluster. Si votre cluster est un `single-node` type, ne spécifiez pas de valeur pour ce paramètre.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `redshift:DescribeClusters`
+ `redshift:ResizeCluster`
**Étapes de document**
+ `aws:executeScript`- Modifie le type de nœud et le nombre de nœuds pour le cluster spécifié dans le `ClusterIdentifier` paramètre.
# Amazon S3
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon Simple Storage Service. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-ArchiveS3BucketToIntelligentTiering`](automation-aws-archives3buckettointelligenttiering.md)
+ [`AWS-ConfigureS3BucketLogging`](automation-aws-configures3bucketlogging.md)
+ [`AWS-ConfigureS3BucketVersioning`](automation-aws-configures3bucketversioning.md)
+ [`AWSConfigRemediation-ConfigureS3BucketPublicAccessBlock`](automation-aws-block-public-s3-bucket.md)
+ [`AWSConfigRemediation-ConfigureS3PublicAccessBlock`](automation-aws-block-public-s3.md)
+ [`AWS-CreateS3PolicyToExpireMultipartUploads`](AWS-CreateS3PolicyToExpireMultipartUploads.md)
+ [`AWS-DisableS3BucketPublicReadWrite`](automation-aws-disables3bucketpublicreadwrite.md)
+ [`AWS-EnableS3BucketEncryption`](automation-aws-enableS3bucketencryption.md)
+ [`AWS-EnableS3BucketKeys`](automation-aws-enableS3bucketkeys.md)
+ [`AWSConfigRemediation-RemovePrincipalStarFromS3BucketPolicy`](automation-aws-remove-s3-wildcard.md)
+ [`AWSConfigRemediation-RestrictBucketSSLRequestsOnly`](automation-aws-s3-deny-http.md)
+ [`AWSSupport-TroubleshootS3PublicRead`](automation-awssupport-troubleshoots3publicread.md)
+ [`AWSSupport-ConfigureS3ReplicationSameAndCrossAccount`](automation-aws-configures3replicationsameandcrossaccount.md)
+ [`AWSSupport-EmptyS3Bucket`](automation-aws-empty-s3-bucket.md)
+ [`AWSSupport-TroubleshootS3EventNotifications`](awssupport-troubleshoot-s3-event-notifications.md)
+ [`AWSSupport-ContainS3Resource`](automation-awssupport-contains3resource.md)
# `AWS-ArchiveS3BucketToIntelligentTiering`
**Description**
Le `AWS-ArchiveS3BucketToIntelligentTiering` runbook crée ou remplace une configuration de hiérarchisation intelligente pour le bucket Amazon Simple Storage Service (Amazon S3) que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-ArchiveS3BucketToIntelligentTiering)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ BucketName
Type : Chaîne
Description : (Obligatoire) Nom du compartiment S3 pour lequel vous souhaitez créer une configuration de hiérarchisation intelligente.
+ ConfigurationId
Type : Chaîne
Description : (Obligatoire) L'ID de la configuration de hiérarchisation intelligente. Il peut s'agir d'un nouvel ID de configuration ou de l'ID d'une configuration existante.
+ NumberOfDaysToArchive
Type : Chaîne
Valeurs valides : 90-730
Description : (Obligatoire) Nombre de jours consécutifs après qu'un objet de votre compartiment est éligible à la transition vers le niveau d'accès aux archives.
+ NumberOfDaysToDeepArchive
Type : Chaîne
Valeurs valides : 180-730
Description : (Obligatoire) Nombre de jours consécutifs après qu'un objet de votre bucket est éligible à la transition vers le niveau Deep Archive Access.
+ S3Prefix
Type : Chaîne
Description : (Facultatif) Le préfixe du nom clé des objets auxquels vous souhaitez appliquer la configuration.
+ Étiquettes
Type : MapList
Description : (Facultatif) Métadonnées attribuées aux objets auxquels vous souhaitez appliquer la configuration. Les balises se composent d'une clé et d'une valeur définies par l'utilisateur.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `s3:GetIntelligentTieringConfiguration`
+ `s3:PutIntelligentTieringConfiguration`
**Étapes de document**
+ PutsBucketIntelligentTieringConfiguration (AWS:ExecuteScript) - Crée ou met à jour une configuration Amazon S3 Intelligent-Tiering pour le compartiment spécifié.
+ VerifyBucketIntelligentTieringConfiguration(aws : assertAwsResource Propriété) - Vérifie que la configuration intelligente du compartiment S3 a été appliquée au compartiment spécifié.
# `AWS-ConfigureS3BucketLogging`
**Description**
Activez la journalisation sur un bucket Amazon Simple Storage Service (Amazon S3).
**Important**
Notez les informations importantes suivantes concernant l'ACL Email Grantee pour l'[PutBucketLogging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLogging.html)API Amazon S3, qui est utilisée par ce runbook :
Avis de fin de prise en charge : à compter du 1er octobre 2025, Amazon S3 cessera de prendre en charge la création de nouvelles listes de contrôle d’accès (ACL) par e-mail pour les bénéficiaires. Le bénéficiaire du courrier électronique ACLs créé avant cette date continuera de fonctionner et restera accessible via les API AWS Management Console, AWS CLI (CLI) et REST. SDKs Cependant, vous ne serez plus en mesure de créer un nouveau bénéficiaire ACLs par e-mail. Entre le 15 juillet 2025 et le 1er octobre 2025, vous commencerez à constater une augmentation du taux d'erreurs HTTP 405 pour les demandes adressées à Amazon S3 lors de la tentative de création d'un nouveau bénéficiaire ACLs d'e-mail.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-ConfigureS3BucketLogging)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ BucketName
Type : Chaîne
Description : (Obligatoire) Nom du compartiment Amazon S3 pour lequel vous souhaitez configurer la journalisation.
+ GrantedPermission
Type : Chaîne
Valeurs valides : FULL\$1CONTROL \$1 READ \$1 WRITE
Description : (Obligatoire) autorisations de journalisation attribuées au bénéficiaire du compartiment.
+ GranteeEmailAddress
Type : Chaîne
(Facultatif) Adresse e-mail du bénéficiaire.
+ GranteeId
Type : Chaîne
Description : (Facultatif) ID d'utilisateur canonique du bénéficiaire.
+ GranteeType
Type : Chaîne
Valeurs valides : CanonicalUser \$1 AmazonCustomerByEmail \$1 Groupe
Description : (Obligatoire) type de bénéficiaire.
+ GranteeUri
Type : Chaîne
Description : (Facultatif) URI du groupe de bénéficiaires.
+ TargetBucket
Type : Chaîne
Description : (Obligatoire) Spécifie le compartiment dans lequel vous souhaitez qu'Amazon S3 stocke les journaux d'accès au serveur. Les journaux peuvent être fournis dans n'importe quel compartiment que vous possédez. Vous pouvez également configurer plusieurs compartiments pour diffuser leurs journaux vers le même compartiment cible. Dans ce cas, vous devez en choisir un différent TargetPrefix pour chaque compartiment source afin que les fichiers journaux fournis puissent être distingués par clé.
+ TargetPrefix
Type : Chaîne
Par défaut : /
Description : (Facultatif) spécifie un préfixe pour les clés sous lesquelles les fichiers journaux sont stockés.
# `AWS-ConfigureS3BucketVersioning`
**Description**
Configurez le versionnement pour un bucket Amazon Simple Storage Service (Amazon S3).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-ConfigureS3BucketVersioning)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ BucketName
Type : Chaîne
Description : (Obligatoire) Le nom du compartiment Amazon S3 pour lequel vous souhaitez configurer le versionnement.
+ VersioningState
Type : Chaîne
Valeurs valides : Activé \$1 Suspendu
Par défaut : Enabled
Description : (Facultatif) Appliqué au VersioningConfiguration .Status. Lorsque ce paramètre est défini sur « Enabled », ce processus permet la gestion des versions pour les objets du compartiment. Tous les objets ajoutés à ce compartiment reçoivent un ID de version unique. Lorsqu'il est défini sur`Suspended`, ce processus désactive la gestion des versions pour les objets du compartiment. Tous les objets ajoutés au compartiment reçoivent l'ID de version`null`.
# `AWSConfigRemediation-ConfigureS3BucketPublicAccessBlock`
**Description**
Le `AWSConfigRemediation-ConfigureS3BucketPublicAccessBlock` runbook configure les paramètres de blocage de l'accès public Amazon Simple Storage Service (Amazon S3) pour un compartiment Amazon S3 en fonction des valeurs que vous spécifiez dans les paramètres du runbook.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-ConfigureS3BucketPublicAccessBlock)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ BlockPublicAcls
Type : Boolean
Valeur par défaut : true
Description : (Facultatif) Si ce paramètre est défini sur`true`, Amazon S3 bloque les listes de contrôle d'accès public (ACLs) pour le compartiment S3, ainsi que les objets stockés dans le compartiment S3 que vous spécifiez dans le `BucketName` paramètre.
+ BlockPublicPolicy
Type : Boolean
Valeur par défaut : true
Description : (Facultatif) Si ce paramètre est défini sur`true`, Amazon S3 bloque les politiques de compartiment public pour le compartiment S3 que vous spécifiez dans le `BucketName` paramètre.
+ BucketName
Type : Chaîne
Description : (Obligatoire) Nom du compartiment S3 que vous souhaitez configurer.
+ IgnorePublicAcls
Type : Boolean
Valeur par défaut : true
Description : (Facultatif) Si ce paramètre est défini sur`true`, Amazon S3 ignore tout le public ACLs pour le compartiment S3 que vous spécifiez dans le `BucketName` paramètre.
+ RestrictPublicBuckets
Type : Boolean
Valeur par défaut : true
Description : (Facultatif) Si ce paramètre est défini sur`true`, Amazon S3 restreint les politiques de compartiment public pour le compartiment S3 que vous spécifiez dans le `BucketName` paramètre.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `s3:GetAccountPublicAccessBlock`
+ `s3:PutAccountPublicAccessBlock`
+ `s3:GetBucketPublicAccessBlock`
+ `s3:PutBucketPublicAccessBlock`
**Étapes de document**
+ `aws:executeAwsApi`- Crée ou modifie la `PublicAccessBlock` configuration du compartiment S3 spécifié dans le `BucketName` paramètre.
+ `aws:executeScript`- Renvoie la `PublicAccessBlock` configuration du compartiment S3 spécifié dans le `BucketName` paramètre et vérifie que les modifications ont été effectuées avec succès sur la base des valeurs spécifiées dans les paramètres du runbook.
# `AWSConfigRemediation-ConfigureS3PublicAccessBlock`
**Description**
Le `AWSConfigRemediation-ConfigureS3PublicAccessBlock` runbook configure les paramètres de blocage d'accès public Compte AWS Amazon Simple Storage Service (Amazon S3) d'un utilisateur en fonction des valeurs que vous spécifiez dans les paramètres du runbook.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-ConfigureS3PublicAccessBlock)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AccountId
Type : Chaîne
Description : (Obligatoire) L'ID du propriétaire du compartiment S3 Compte AWS que vous configurez.
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ BlockPublicAcls
Type : Boolean
Valeur par défaut : true
Description : (Facultatif) Si ce paramètre est défini sur`true`, Amazon S3 bloque les listes de contrôle d'accès public (ACLs) pour les compartiments S3 appartenant à ceux Compte AWS que vous spécifiez dans le `AccountId` paramètre.
+ BlockPublicPolicy
Type : Boolean
Valeur par défaut : true
Description : (Facultatif) Si ce paramètre est défini sur`true`, Amazon S3 bloque les politiques de compartiment public pour les compartiments S3 appartenant à ceux Compte AWS que vous spécifiez dans le `AccountId` paramètre.
+ IgnorePublicAcls
Type : Boolean
Valeur par défaut : true
Description : (Facultatif) Si ce paramètre est défini sur`true`, Amazon S3 ignore tous les compartiments publics ACLs pour S3 appartenant à ceux Compte AWS que vous spécifiez dans le `AccountId` paramètre.
+ RestrictPublicBuckets
Type : Boolean
Valeur par défaut : true
Description : (Facultatif) Si ce paramètre est défini sur`true`, Amazon S3 restreint les politiques relatives aux compartiments publics pour les compartiments S3 appartenant à ceux Compte AWS que vous spécifiez dans le `AccountId` paramètre.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `s3:GetAccountPublicAccessBlock`
+ `s3:PutAccountPublicAccessBlock`
**Étapes de document**
+ `aws:executeAwsApi`- Crée ou modifie la `PublicAccessBlock` configuration pour ce qui est Compte AWS spécifié dans le `AccountId` paramètre.
+ `aws:executeScript`- Renvoie la `PublicAccessBlock` configuration Compte AWS spécifiée dans le `AccountId` paramètre et vérifie que les modifications ont été effectuées avec succès en fonction des valeurs spécifiées dans les paramètres du runbook.
# `AWS-CreateS3PolicyToExpireMultipartUploads`
**Description**
Le `AWS-CreateS3PolicyToExpireMultipartUploads` runbook crée une politique de cycle de vie pour un compartiment spécifique qui expire après un certain nombre de jours pour les téléchargements partiels incomplets en cours. Ce manuel fusionne la nouvelle politique de cycle de vie avec toutes les politiques de compartiment de cycle de vie existantes qui existent déjà.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CreateS3PolicyToExpireMultipartUploads)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ BucketName
Type : Chaîne
Description : (Obligatoire) Nom du compartiment S3 que vous souhaitez configurer.
+ DaysUntilExpire
Type : Integer
Description : (Obligatoire) Nombre de jours pendant lesquels Amazon S3 attend avant de supprimer définitivement toutes les parties du téléchargement.
+ RuleId
Type : Chaîne
Description : (Obligatoire) L'ID utilisé pour identifier la règle du bucket de cycle de vie. Il doit s'agir d'une valeur unique.
+ S3Prefix
Type : Chaîne
Description : (Facultatif) Le préfixe du nom clé des objets auxquels vous souhaitez appliquer la configuration.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:GetAutomationExecution`
+ `ssm:StartAutomationExecution`
+ `s3:GetLifecycleConfiguration`
+ `s3:PutLifecycleConfiguration`
**Étapes de document**
+ ConfigureExpireMultipartUploads (AWS:ExecuteScript) - Configure la politique de cycle de vie du bucket.
+ VerifyExpireMultipartUploads (AWS:ExecuteScript) - Vérifie que la politique de cycle de vie a été configurée pour le bucket.
**Sorties**
+ `VerifyExpireMultipartUploads.VerifyExpireMultipartUploadsResponse`
+ `VerifyExpireMultipartUploads.LifecycleConfigurationRule`
# `AWS-DisableS3BucketPublicReadWrite`
**Description**
Utilisez Amazon Simple Storage Service (Amazon `Block Public Access` S3) pour désactiver l'accès en lecture et en écriture à un compartiment S3 public. Pour plus d'informations, consultez la section [Utilisation d'Amazon S3 Block Public Access](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-DisableS3BucketPublicReadWrite)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ S3 BucketName
Type : Chaîne
Description : (obligatoire) compartiment S3 au niveau duquel vous souhaitez restreindre l'accès.
# `AWS-EnableS3BucketEncryption`
**Description**
Configure le chiffrement par défaut pour un bucket Amazon Simple Storage Service (Amazon S3).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableS3BucketEncryption)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ BucketName
Type : Chaîne
Description : (obligatoire) nom du compartiment S3 dans lequel vous souhaitez chiffrer le contenu.
+ SSEAlgorithm
Type : Chaîne
Par défaut : AES256
Description : (Facultatif) algorithme de chiffrement côté serveur à utiliser pour le chiffrement par défaut.
# `AWS-EnableS3BucketKeys`
**Description**
Le `AWS-EnableS3BucketKeys` runbook active les clés de compartiment sur le compartiment Amazon Simple Storage Service (Amazon S3) que vous spécifiez. Cette clé au niveau du compartiment crée des clés de données pour les nouveaux objets au cours de leur cycle de vie. Si vous ne spécifiez aucune valeur pour le `KmsKeyId` paramètre, le chiffrement côté serveur à l'aide de clés gérées Amazon S3 (SSE-S3) est utilisé pour la configuration de chiffrement par défaut.
**Note**
Les clés de compartiment Amazon S3 ne sont pas prises en charge pour le chiffrement double couche côté serveur avec des clés AWS Key Management Service (AWS KMS) (DSSE-KMS).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableS3BucketKeys)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ BucketName
Type : Chaîne
Description : (Obligatoire) Nom du compartiment S3 pour lequel vous souhaitez activer les clés de compartiment.
+ KMSKeyID
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN), l'ID de clé ou l'alias de clé AWS Key Management Service (AWS KMS) gérée par le client que vous souhaitez utiliser pour le chiffrement côté serveur.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `s3:GetEncryptionConfiguration`
+ `s3:PutEncryptionConfiguration`
**Étapes de document**
+ ChooseEncryptionType (aws:branch) - Évalue la valeur fournie pour le `KmsKeyId` paramètre afin de déterminer si SSE-S3 (AES256) ou SSE-KMS seront utilisés.
+ PutBucketKeysKMS (aws :executeAwsApi) - Définit la `BucketKeyEnabled` propriété sur `true` pour le compartiment S3 spécifié en utilisant le paramètre spécifié`KmsKeyId`.
+ PutBucketKeysAES256 (aws :executeAwsApi) - Définit la `BucketKeyEnabled` propriété sur `true` pour le compartiment S3 spécifié avec AES256 chiffrement.
+ VerifyS3 BucketKeysEnabled (aws : assertAwsResource Property) : vérifie que les clés de compartiment sont activées sur le compartiment S3 cible.
# `AWSConfigRemediation-RemovePrincipalStarFromS3BucketPolicy`
**Description**
Le `AWSConfigRemediation-RemovePrincipalStarFromS3BucketPolicy` runbook supprime les principales déclarations de politique contenant des caractères génériques (`Principal: *`ou`Principal: "AWS": *`) pour les `Allow` actions de votre politique de compartiment Amazon Simple Storage Service (Amazon S3). Les déclarations de politique assorties de conditions sont également supprimées.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-RemovePrincipalStarFromS3BucketPolicy)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ BucketName
Type : Chaîne
Description : (Obligatoire) Le nom du compartiment Amazon S3 dont vous souhaitez modifier la politique.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `s3:DeleteBucketPolicy`
+ `s3:GetBucketPolicy`
+ `s3:PutBucketPolicy`
**Étapes de document**
+ `aws:executeScript`- Modifie la politique du compartiment et vérifie que les principales déclarations de politique comportant des caractères génériques ont été supprimées du compartiment Amazon S3 que vous spécifiez dans le paramètre. `BucketName`
# `AWSConfigRemediation-RestrictBucketSSLRequestsOnly`
**Description**
Le `AWSConfigRemediation-RestrictBucketSSLRequestsOnly` runbook crée une déclaration de politique relative au compartiment Amazon Simple Storage Service (Amazon S3) qui refuse explicitement les requêtes HTTP adressées au compartiment Amazon S3 que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-RestrictBucketSSLRequestsOnly)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ BucketName
Type : Chaîne
Description : (Obligatoire) Nom du compartiment S3 auquel vous souhaitez refuser les requêtes HTTP.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `s3:DeleteBucketPolicy`
+ `s3:GetBucketPolicy`
+ `s3:PutEncryptionConfiguration`
+ `s3:PutBucketPolicy`
**Étapes de document**
+ `aws:executeScript`- Crée une politique de compartiment pour le compartiment S3 spécifié dans le `BucketName` paramètre qui refuse explicitement les requêtes HTTP.
# `AWSSupport-TroubleshootS3PublicRead`
**Description**
Le `AWSSupport-TroubleshootS3PublicRead` runbook diagnostique les problèmes de lecture des objets du compartiment public Amazon Simple Storage Service (Amazon S3) que vous spécifiez dans le paramètre. `S3BucketName` Un sous-ensemble de paramètres est également analysé pour les objets du compartiment S3.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootS3PublicRead)
**Limites**
+ Cette automatisation ne vérifie pas les points d'accès qui permettent au public d'accéder aux objets.
+ Cette automatisation n'évalue pas les clés de condition dans la politique du compartiment S3.
+ Si vous l'utilisez AWS Organizations, cette automatisation n'évalue pas les politiques de contrôle des services pour confirmer que l'accès à Amazon S3 est autorisé.
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ CloudWatchLogGroupName
Type : Chaîne
Description : (Facultatif) Le groupe de CloudWatch journaux Amazon Logs dans lequel vous souhaitez envoyer le résultat d'automatisation. Si aucun groupe de journaux correspondant à la valeur que vous spécifiez n'est trouvé, l'automatisation créera un groupe de journaux à l'aide de cette valeur de paramètre. La période de conservation du groupe de journaux créé par cette automatisation est de 14 jours.
+ CloudWatchLogStreamName
Type : Chaîne
Description : (Facultatif) Le flux du journal CloudWatch des journaux dans lequel vous souhaitez envoyer la sortie d'automatisation. Si aucun flux de journal correspondant à la valeur que vous spécifiez n'est trouvé, l'automatisation créera un flux de journal à l'aide de cette valeur de paramètre. Si vous ne spécifiez pas de valeur pour ce paramètre, l'automatisation utilisera le `ExecutionId` pour le nom du flux de journal.
+ HttpGet
Type : Boolean
Valeurs valides : true \$1 false
Valeur par défaut : true
Description : (Facultatif) Si ce paramètre est défini sur`true`, l'automatisation envoie une requête HTTP partielle aux objets `S3BucketName` que vous spécifiez. Seul le premier octet de l'objet est renvoyé à l'aide de l'en-tête HTTP Range.
+ IgnoreBlockPublicAccess
Type : Boolean
Valeurs valides : true \$1 false
Valeur par défaut : false
Description : (Facultatif) Si ce paramètre est défini sur`true`, l'automatisation ignore les paramètres de blocage d'accès public du compartiment S3 que vous spécifiez dans le `S3BucketName` paramètre. Il n'est pas recommandé de modifier ce paramètre par rapport à la valeur par défaut.
+ MaxObjects
Type : Integer
Valeurs valides : 1 à 25
Par défaut: 5
Description : (Facultatif) Le nombre d'objets à analyser dans le compartiment S3 que vous spécifiez dans le `S3BucketName` paramètre.
+ S3 BucketName
Type : Chaîne
Description : (Obligatoire) Nom du compartiment S3 à dépanner.
+ S3 PrefixName
Type : Chaîne
Description : (Facultatif) Le préfixe du nom clé des objets que vous souhaitez analyser dans votre compartiment S3. Pour plus d'informations, consultez la section [Clés d'objet](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingMetadata.html#object-keys) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
+ StartAfter
Type : Chaîne
Description : (Facultatif) Nom de la clé d'objet dans laquelle vous souhaitez que l'automatisation commence à analyser les objets de votre compartiment S3.
+ ResourcePartition
Type : Chaîne
Valeurs valides : `aws` \$1 `aws-us-gov` \$1 `aws-cn`
Valeur par défaut : `aws`
Description : (Obligatoire) La partition dans laquelle se trouve votre compartiment S3.
+ Détaillée
Type : Boolean
Valeurs valides : true \$1 false
Valeur par défaut : false
Description : (Facultatif) Pour renvoyer des informations plus détaillées lors de l'automatisation, définissez ce paramètre sur`true`. Seuls les messages d'avertissement et d'erreur seront renvoyés si le paramètre est défini sur`false`.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
Les `logs:PutLogEvents` autorisations`logs:CreateLogGroup`,`logs:CreateLogStream`, et ne sont requises que si vous souhaitez que l'automatisation envoie des données de journal à CloudWatch Logs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:SimulateCustomPolicy",
"iam:GetContextKeysForCustomPolicy",
"s3:ListAllMyBuckets",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:PutRetentionPolicy",
"s3:GetAccountPublicAccessBlock"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectTagging"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*",
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketRequestPayment",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPolicy",
"s3:GetBucketAcl"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1",
"Effect": "Allow"
}
]
}
```
------
**Étapes de document**
+ `aws:assertAwsResourceProperty`- Confirme que le compartiment S3 existe et qu'il est accessible.
+ `aws:executeScript`- Renvoie l'emplacement du compartiment S3 et votre ID utilisateur canonique.
+ `aws:executeScript`- Renvoie les paramètres de blocage de l'accès public pour votre compte et le compartiment S3.
+ `aws:assertAwsResourceProperty`- Confirme que le payeur du compartiment S3 est réglé sur`BucketOwner`. S'il `Requester Pays` est activé sur le compartiment S3, l'automatisation prend fin.
+ `aws:executeScript`- Renvoie l'état de la politique du compartiment S3 et détermine s'il est considéré comme public. Pour plus d'informations sur les compartiments S3 publics, consultez [La signification du terme « public »](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html#access-control-block-public-access-policy-status) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
+ `aws:executeAwsApi`- Renvoie la politique du compartiment S3.
+ `aws:executeAwsApi`- Renvoie toutes les clés de contexte présentes dans la politique du compartiment S3.
+ `aws:assertAwsResourceProperty`- Confirme s'il existe un refus explicite dans la politique du compartiment S3 pour l'action d'`GetObject`API.
+ `aws:executeAwsApi`- Renvoie la liste de contrôle d'accès (ACL) pour le compartiment S3.
+ `aws:executeScript`- Crée un groupe de CloudWatch journaux et un flux de journaux si vous spécifiez une valeur pour le `CloudWatchLogGroupName` paramètre.
+ `aws:executeScript`- Sur la base des valeurs que vous spécifiez dans les paramètres d'entrée du runbook, évalue si l'un des paramètres du compartiment S3 collectés lors de l'automatisation empêche le public d'accéder aux objets. Ce script exécute les fonctions suivantes :
+ Évalue les paramètres de blocage de l'accès public
+ Renvoie les objets de votre compartiment S3 en fonction des valeurs que vous spécifiez dans les `StartAfter` paramètres `MaxObjects``S3PrefixName`, et.
+ Renvoie la politique du compartiment S3 pour simuler une politique IAM personnalisée pour les objets renvoyés par votre compartiment S3.
+ Exécute une requête HTTP partielle vers les objets renvoyés si le `HttpGet` paramètre est défini sur`true`. Seul le premier octet de l'objet est renvoyé à l'aide de l'en-tête HTTP Range.
+ Vérifie le nom de clé de l'objet renvoyé pour confirmer s'il se termine par un ou deux points. Les noms de clés d'objet qui se terminent par des points ne peuvent pas être téléchargés depuis la console Amazon S3.
+ Vérifie si le propriétaire de l'objet renvoyé correspond au propriétaire du compartiment S3.
+ Vérifie si l'ACL de l'objet accorde `READ` `FULL_CONTROL` ou autorise des utilisateurs anonymes.
+ Renvoie les balises associées à l'objet.
+ Utilise la stratégie IAM simulée pour confirmer s'il existe un refus explicite pour cet objet dans la politique du compartiment S3 pour l'action d'`GetObject`API.
+ Renvoie les métadonnées de l'objet pour confirmer que la classe de stockage est prise en charge.
+ Vérifie les paramètres de chiffrement côté serveur de l'objet pour vérifier si l'objet est chiffré à l'aide d'une clé gérée par le client AWS Key Management Service (AWS KMS).
**Sorties**
AnalyzeObjects.seau
AnalyzeObjects.objet
# `AWSSupport-ConfigureS3ReplicationSameAndCrossAccount`
**Description**
Le manuel `AWSSupport-ConfigureS3ReplicationSameAndCrossAccount` d'automatisation configure la réplication du bucket Amazon Simple Storage Service (Amazon S3) entre un bucket source et un bucket de destination pour des comptes identiques ou intercomptes. Cette automatisation prend en charge la réplication des buckets chiffrés avec le chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3) et le chiffrement côté serveur avec (SSE-KMS). AWS Key Management Service Il prend également en charge le filtrage de réplication sélectif basé sur des préfixes et des balises, le contrôle du temps de réplication Amazon S3 (Amazon S3 RTC) avec un SLA de 15 minutes et la réplication par marqueurs de suppression. L'automatisation exécute les actions suivantes :
+ Valide la compatibilité des paramètres d'entrée et des configurations de compartiment.
+ Vérifie les paramètres de chiffrement sur les compartiments source et de destination.
+ Crée un nouveau rôle Gestion des identités et des accès AWS (IAM) avec les autorisations appropriées pour la réplication s'il n'est pas fourni en entrée.
+ Configure les règles de réplication en fonction de paramètres spécifiés (préfixe, balises ou compartiment entier).
+ Active le versionnement des compartiments s'il n'est pas déjà activé.
+ Configure la configuration de réplication avec des fonctionnalités optionnelles telles que le contrôle du temps de réplication (RTC) et la réplication des marqueurs de suppression.
**Important**
**Cette automatisation ne prend pas en charge les buckets dotés de règles de réplication existantes.** Le compartiment source ne doit pas avoir de configuration de réplication existante.
**Cette automatisation crée un nouveau rôle IAM** avec les autorisations appropriées pour la réplication si aucune ReplicationRole entrée S3 n'est fournie.
**Cette automatisation ne reproduit pas les objets existants.** La réplication Amazon S3 ne s'applique aux objets qu'une uploaded/created fois la configuration de réplication activée.
Pour la réplication entre comptes, vous devez fournir un rôle IAM dans le compte de destination avec les autorisations appropriées pour les opérations Amazon S3 et les AWS KMS opérations (si le bucket utilise le AWS KMS chiffrement).
Cette automatisation utilise l'`aws:approve`action, qui suspend temporairement l'exécution jusqu'à ce que les principaux désignés approuvent les modifications de configuration. Voir [Exécution d'une automatisation avec des approbateurs](https://docs.aws.amazon.com//systems-manager/latest/userguide/running-automations-require-approvals.html) pour plus d'informations.
**Fonctionnement**
Le runbook exécute les étapes suivantes :
+ **ValidateInputParameters**: valide l'exactitude et la compatibilité de tous les paramètres d'entrée afin de garantir une configuration de réplication correcte.
+ **PrepareApprovalMessage**: prépare un message d'approbation contenant tous les paramètres de configuration de réplication pour examen par l'utilisateur.
+ **RequestApproval**: demande l'approbation des utilisateurs autorisés avant d'ajouter la configuration de réplication Amazon S3 dans le compartiment source.
+ **CheckBucketEncryption**: Vérifie la configuration de chiffrement pour les compartiments Amazon S3 source et de destination afin de déterminer les paramètres de réplication compatibles.
+ **BranchOnEncryptionType**: Exécution de branches basée sur le type de chiffrement des compartiments Amazon S3 afin d'appliquer une configuration de réplication appropriée aux compartiments chiffrés SSE-S3 ou SSE-KMS.
+ **Configurer SSES3 la réplication** : configure la réplication Amazon S3 pour les compartiments chiffrés avec le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3), y compris les rôles IAM et les règles de réplication.
+ **Configurer SSEKMSReplication** : configure la réplication Amazon S3 pour les compartiments chiffrés avec le chiffrement côté serveur avec AWS KMS (SSE-KMS), y compris les rôles IAM, les autorisations clés KMS et les règles de réplication.
+ **CleanupResources**: Nettoie le rôle IAM créé lors de l'échec de la configuration de réplication lorsque S3 n'ReplicationRole est pas fourni en entrée.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount)
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ s3 : ListBucket
+ s3 : GetBucketVersioning
+ s3 : GetEncryptionConfiguration
+ s3 : GetBucketLocation
+ s3 : GetReplicationConfiguration
+ s3 : PutBucketVersioning
+ s3 : PutReplicationConfiguration
+ iam : ListRoles
+ iam : GetRole
+ iam : GetRolePolicy
+ iam : ListRoleTags
+ iam : ListAttachedRolePolicies
+ iam : ListRolePolicies
+ iam : SimulatePrincipalPolicy
+ iam : CreateRole
+ iam : TagRole
+ iam : PassRole
+ iam : DeleteRole
+ iam : DeleteRolePolicy
+ iam : DetachRolePolicy
+ iam : PutRolePolicy
+ sets : GetCallerIdentity
+ sns:Publish
+ kms : GetKeyPolicy (lorsque les buckets utilisent SSE-KMS, réplication sur le même compte)
+ kms : DescribeKey (lorsque les buckets utilisent SSE-KMS, réplication sur le même compte)
+ kms : PutKeyPolicy (lorsque les buckets utilisent SSE-KMS, réplication sur le même compte)
+ sts : AssumeRole (pour la réplication entre comptes)
**CrossAccountReplicationRole (pour les scénarios entre comptes) :**
Pour la réplication entre comptes, vous devez fournir un compte CrossAccountReplicationRole dans le compte de destination avec les autorisations suivantes :
+ s3 : ListBucket
+ s3 : GetBucketVersioning
+ s3 : GetBucketLocation
+ s3 : GetBucketPolicy
+ s3 : GetEncryptionConfiguration
+ s3 : PutBucketVersioning
+ s3 : PutBucketPolicy
+ kms : GetKeyPolicy (lorsque le bucket de destination entre comptes utilise SSE-KMS)
+ kms : DescribeKey (lorsque le bucket de destination entre comptes utilise SSE-KMS)
+ kms : PutKeyPolicy (lorsque le bucket de destination entre comptes utilise SSE-KMS)
**S3 ReplicationRole (rôle fourni par le client) :**
Si vous fournissez un S3 existantReplicationRole, il doit disposer des autorisations suivantes :
+ s3 : ListBucket
+ s3 : GetBucketLocation
+ s3 : GetReplicationConfiguration
+ s3 : GetObjectVersionAcl
+ s3 : GetObjectVersionTagging
+ s3 : GetObjectVersionForReplication
+ s3 : GetObjectTagging
+ s3 : ReplicateObject
+ s3 : ReplicateDelete
+ s3 : ReplicateTags
+ s3 : ObjectOwnerOverrideToBucketOwner
+ KMS:Decrypt (pour les scénarios SSE-KMS, clé KMS source)
+ KMS:Encrypt (pour les scénarios SSE-KMS, clé KMS de destination)
+ kms : GenerateDataKey (pour les scénarios SSE-KMS, clé KMS de destination)
+ kms : ReEncrypt \$1 (pour les scénarios SSE-KMS, clé KMS de destination)
Exemple **AutomationAssumeRole**de politique pour la réplication sur **un même compte** :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "S3Permissions",
"Effect": "Allow",
"Action": [
"s3:GetBucketVersioning",
"s3:GetEncryptionConfiguration",
"s3:GetBucketLocation",
"s3:GetReplicationConfiguration",
"s3:ListBucket",
"s3:PutBucketVersioning",
"s3:PutReplicationConfiguration"
],
"Resource": [
"arn:aws:s3:::SOURCE_BUCKET",
"arn:aws:s3:::DESTINATION_BUCKET"
]
},
{
"Sid": "IAMReadOperations",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListRoleTags",
"iam:ListAttachedRolePolicies",
"iam:ListRolePolicies",
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
},
{
"Sid": "IAMListRolesForCleanup",
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Sid": "IAMCreateAndTagRole",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:TagRole"
],
"Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*",
"Condition": {
"StringLike": {
"aws:RequestTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*"
}
}
},
{
"Sid": "IAMPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "s3.amazonaws.com"
}
}
},
{
"Sid": "TaggedIAMRoleModifyAndDeleteOperations",
"Effect": "Allow",
"Action": [
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*",
"Condition": {
"StringLike": {
"aws:ResourceTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*"
}
}
},
{
"Sid": "STSGetCallerIdentity",
"Effect": "Allow",
"Action": "sts:GetCallerIdentity",
"Resource": "*"
},
{
"Sid": "SNSPublish",
"Effect": "Allow",
"Action": "sns:Publish",
"Resource": "SNS_TOPIC_ARN"
},
{
"Sid": "KMSKeyReadOperations",
"Effect": "Allow",
"Action": [
"kms:GetKeyPolicy",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:REGION:ACCOUNT_ID:key/SOURCE_KMS_KEY_ID",
"arn:aws:kms:REGION:ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID"
]
},
{
"Sid": "KMSKeyMutatingOperations",
"Effect": "Allow",
"Action": "kms:PutKeyPolicy",
"Resource": [
"arn:aws:kms:REGION:ACCOUNT_ID:key/SOURCE_KMS_KEY_ID",
"arn:aws:kms:REGION:ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID"
],
"Condition": {
"StringEquals": {
"kms:CallerAccount": "ACCOUNT_ID"
}
}
}
]
}
```
**Note**
Les déclarations de politique (KMSKeyReadOperations et KMSKeyMutatingOperations) ne sont requises que lorsque les compartiments utilisent le chiffrement SSE-KMS.
Exemple **AutomationAssumeRole**de politique pour la **réplication entre comptes** :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "S3SourceBucketOperations",
"Effect": "Allow",
"Action": [
"s3:GetBucketVersioning",
"s3:GetEncryptionConfiguration",
"s3:GetBucketLocation",
"s3:GetReplicationConfiguration",
"s3:ListBucket",
"s3:PutBucketVersioning",
"s3:PutReplicationConfiguration"
],
"Resource": "arn:aws:s3:::SOURCE_BUCKET"
},
{
"Sid": "IAMReadOperations",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListRoleTags",
"iam:ListAttachedRolePolicies",
"iam:ListRolePolicies",
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
},
{
"Sid": "IAMListRolesForCleanup",
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Sid": "IAMCreateAndTagRole",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:TagRole"
],
"Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*",
"Condition": {
"StringLike": {
"aws:RequestTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*"
}
}
},
{
"Sid": "IAMPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "s3.amazonaws.com"
}
}
},
{
"Sid": "TaggedIAMRoleModifyAndDeleteOperations",
"Effect": "Allow",
"Action": [
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*",
"Condition": {
"StringLike": {
"aws:ResourceTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*"
}
}
},
{
"Sid": "CrossAccountRoleAssumption",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "CROSS_ACCOUNT_REPLICATION_ROLE_ARN"
},
{
"Sid": "STSGetCallerIdentity",
"Effect": "Allow",
"Action": "sts:GetCallerIdentity",
"Resource": "*"
},
{
"Sid": "SNSPublish",
"Effect": "Allow",
"Action": "sns:Publish",
"Resource": "SNS_TOPIC_ARN"
},
{
"Sid": "KMSSourceKeyReadOperations",
"Effect": "Allow",
"Action": [
"kms:GetKeyPolicy",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID"
},
{
"Sid": "KMSSourceKeyMutatingOperations",
"Effect": "Allow",
"Action": "kms:PutKeyPolicy",
"Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "SOURCE_ACCOUNT_ID"
}
}
}
]
}
```
**Note**
Les déclarations de politique (KMSSourceKeyReadOperations et KMSSourceKeyMutatingOperations) ne sont requises que lorsque le compartiment source utilise le chiffrement SSE-KMS.
Remplacez CROSS\$1ACCOUNT\$1REPLICATION\$1ROLE\$1ARN par la valeur de paramètre réelle que vous fournissez à l'automatisation. CrossAccountReplicationRole
Exemple **CrossAccountReplicationRole**de politique :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "S3DestinationBucketReadOperations",
"Effect": "Allow",
"Action": [
"s3:GetBucketVersioning",
"s3:GetBucketLocation",
"s3:GetBucketPolicy",
"s3:GetEncryptionConfiguration",
"s3:ListBucket",
"s3:PutBucketVersioning",
"s3:PutBucketPolicy"
],
"Resource": "arn:aws:s3:::DESTINATION_BUCKET"
},
{
"Sid": "KMSDestinationKeyReadOperations",
"Effect": "Allow",
"Action": [
"kms:GetKeyPolicy",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID"
},
{
"Sid": "KMSDestinationKeyMutatingOperations",
"Effect": "Allow",
"Action": "kms:PutKeyPolicy",
"Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "DESTINATION_ACCOUNT_ID"
}
}
}
]
}
```
**Note**
Les instructions KMS (KMSDestinationKeyReadOperations et KMSDestinationKeyMutatingOperations) ne sont requises que lorsque le compartiment de destination utilise le chiffrement SSE-KMS. Supprimez ces instructions pour les scénarios SSE-S3.
Exemple de politique de CrossAccountReplicationRole confiance :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "AUTOMATION_ASSUME_ROLE_ARN"
},
"Action": "sts:AssumeRole"
}
]
}
```
**Note**
Remplacez AUTOMATION\$1ASSUME\$1ROLE\$1ARN par la valeur de paramètre réelle que vous fournissez à l'automatisation. AutomationAssumeRole
Exemple de ReplicationRole politique **S3** :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "S3SourceBucketPermissions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetReplicationConfiguration",
"s3:GetObjectVersionAcl",
"s3:GetObjectVersionTagging",
"s3:GetObjectVersionForReplication",
"s3:GetObjectTagging"
],
"Resource": [
"arn:aws:s3:::SOURCE_BUCKET",
"arn:aws:s3:::SOURCE_BUCKET/*"
]
},
{
"Sid": "S3DestinationBucketPermissions",
"Effect": "Allow",
"Action": [
"s3:ReplicateObject",
"s3:ReplicateDelete",
"s3:ReplicateTags"
],
"Resource": "arn:aws:s3:::DESTINATION_BUCKET/*"
},
{
"Sid": "S3CrossAccountPermissions",
"Effect": "Allow",
"Action": "s3:ObjectOwnerOverrideToBucketOwner",
"Resource": "arn:aws:s3:::DESTINATION_BUCKET/*"
},
{
"Sid": "KMSSourceKeyPermissions",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID"
},
{
"Sid": "KMSDestinationKeyPermissions",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID"
}
]
}
```
**Note**
Les instructions KMS (KMSSourceKeyPermissions et KMSDestinationKeyPermissions) ne sont requises que lorsque les compartiments utilisent le chiffrement SSE-KMS.
L'CrossAccountPermissions instruction S3 n'est requise que pour la réplication de compartiments entre comptes.
Exemple de politique de ReplicationRole confiance S3 :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "s3.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount/description)à Systems Manager sous Documents.
1. Sélectionnez **Execute automation** (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Obligatoire) :**
+ Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Type : `AWS::IAM::Role::Arn`
+ **SourceBucket (Obligatoire) :**
+ Description : (Obligatoire) Nom du compartiment Amazon S3 source dans lequel les règles de réplication seront créées ou mises à jour.
+ Type : `AWS::S3::Bucket::Name`
+ **DestinationBucket (Obligatoire) :**
+ Description : (Obligatoire) Nom du compartiment Amazon S3 de destination vers lequel les objets seront répliqués.
+ Type : `String`
+ Modèle autorisé : `^[0-9a-z][a-z0-9\\-\\.]{3,63}$`
+ **SourceAccountId (Obligatoire) :**
+ Description : (Obligatoire) L'ID du AWS compte sur lequel se trouve le compartiment source.
+ Type : `String`
+ Modèle autorisé : `^[0-9]{12,13}$`
+ **DestinationAccountId (Obligatoire) :**
+ Description : (Obligatoire) L'ID du AWS compte sur lequel se trouve le compartiment de destination.
+ Type : `String`
+ Modèle autorisé : `^[0-9]{12,13}$`
+ **SnsNotificationArn (Obligatoire) :**
+ Description : (Obligatoire) L'ARN d'une rubrique Amazon Simple Notification Service (Amazon SNS) pour les approbations d'automatisation.
+ Type : `String`
+ Modèle autorisé : `^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):sns:[a-z]{2}(-gov)?(-iso[a-z]?)?-[a-z]{2,10}-[0-9]{1,2}:\\d{12}:[0-9a-zA-Z-_]{1,256}(.fifo)?$`
+ **Approbateurs (obligatoire) :**
+ Description : (Obligatoire) Liste des IAM user/role ARNs autorisés à approuver l'exécution de l'automatisation.
+ Type : `StringList`
+ Modèle autorisé : `^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:(user|role)/[\\w+=,.@\\-/]+$`
+ **S3 ReplicationRole (facultatif) :**
+ Description : (Facultatif) L'ARN d'un rôle IAM existant à utiliser pour les opérations de réplication Amazon S3. Ce rôle doit être autorisé à lire dans le compartiment source et à écrire dans le compartiment de destination, y compris les autorisations KMS si les compartiments utilisent le chiffrement SSE-KMS. Si ce n'est pas le cas, l'automatisation créera un nouveau rôle avec les autorisations appropriées.
+ Type : `String`
+ Modèle autorisé : `^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:role/[\\w+=,.@\\-/]+$`
+ Valeur par défaut : `""`
+ **CrossAccountReplicationRole (Facultatif) :**
+ Description : (Facultatif) L'ARN d'un rôle IAM dans le compte de destination que l'automatisation peut assumer. Cela est nécessaire pour la réplication entre comptes. Pour la réplication sur le même compte, laissez ce champ vide.
+ Type : `String`
+ Modèle autorisé : `^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:role/[\\w+=,.@\\-/]+$`
+ Valeur par défaut : `""`
+ **ReplicateEntireBucket (Facultatif) :**
+ Description : (Facultatif) Si ce paramètre est défini sur`true`, l'ensemble du compartiment sera répliqué et le préfixe et les balises doivent être vides. Si la valeur est fausse, la réplication sera basée sur le préfixe ou les balises spécifiés.
+ Type : `Boolean`
+ Valeurs autorisées : `[true, false]`
+ Valeur par défaut : `true`
+ **ReplicationRuleStatus (Facultatif) :**
+ Description : (Facultatif) Si ce paramètre est défini sur`true`, les règles de réplication créées seront activées. Si ce paramètre est défini sur`false`, les règles de réplication créées seront définies sur **Désactivé**.
+ Type : `Boolean`
+ Valeurs autorisées : `[true, false]`
+ Valeur par défaut : `true`
+ **DeleteMarkerReplicationStatus (Facultatif) :**
+ Description : (Facultatif) Si ce paramètre est défini sur`true`, l'automatisation permet la réplication des marqueurs de suppression.
+ Type : `Boolean`
+ Valeurs autorisées : `[true, false]`
+ Valeur par défaut : `false`
+ **ReplicationTimeControl (Facultatif) :**
+ Description : (Facultatif) Si ce paramètre est défini sur`true`, il active le contrôle du temps de réplication d'Amazon S3 (Amazon S3 RTC) avec un SLA de 15 minutes pour des temps de réplication prévisibles.
+ Type : `Boolean`
+ Valeurs autorisées : `[true, false]`
+ Valeur par défaut : `false`
+ **ReplicaModifications (Facultatif) :**
+ Description : (Facultatif) Si ce paramètre est défini sur`true`, il permet de répliquer les modifications de métadonnées apportées aux objets répliqués, ce qui permet de synchroniser les modifications apportées aux objets répliqués avec la source.
+ Type : `Boolean`
+ Valeurs autorisées : `[true, false]`
+ Valeur par défaut : `false`
+ **Préfixe (facultatif) :**
+ Description : (Facultatif) Filtre de préfixes pour la réplication sélective d'objets dotés de préfixes clés spécifiques. Le préfixe doit se terminer par une barre oblique (/) pour un filtrage correct des préfixes Amazon S3.
+ Type : `String`
+ Modèle autorisé : `^$|^[a-zA-Z0-9!_'()\\-]*/+$`
+ Valeur par défaut : `""`
+ **Balises (facultatives) :**
+ Description : tableau JSON de balises (facultatif) pour filtrer les objets à répliquer. Format pour une seule balise : [\$1"Key » : » TagKey «, "Value » : » TagValue «\$1] et pour plusieurs balises : [\$1" Key » : » TagKey 1", "Value » : » TagValue 1"\$1, \$1"Key » : » TagKey 2", "Value » : » TagValue 2"\$1].
+ Type : `String`
+ Modèle autorisé : `^\\[((\\{\"Key\":\"[a-zA-Z0-9+\\-=.:/ @\\s]{1,128}\",\"Value\":\"[a-zA-Z0-9+\\-=.:/@\\s]{0,256}\"\\})(,\\{\"Key\":\"[a-zA-Z0-9+\\-=.:/ @\\s]{1,128}\",\"Value\":\"[a-zA-Z0-9+\\-=.:/@\\s]{0,256}\"\\})*)?\\]$`
+ Valeur par défaut : `[]`
1. Sélectionnez **Exécuter**.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **ValidateInputParameters**:
Valide l'exactitude et la compatibilité de tous les paramètres d'entrée afin de garantir une configuration de réplication appropriée.
+ **PrepareApprovalMessage**:
Prépare le message d'approbation avec tous les paramètres de configuration de réplication pour examen par l'utilisateur.
+ **RequestApproval**:
Demande l'approbation des utilisateurs autorisés avant de procéder aux modifications de configuration de réplication Amazon S3.
+ **CheckBucketEncryption**:
Vérifie la configuration de chiffrement pour les compartiments Amazon S3 source et de destination afin de déterminer les paramètres de réplication compatibles.
+ **BranchOnEncryptionType**:
Exécution de branches basée sur le type de chiffrement des compartiments Amazon S3 afin d'appliquer une configuration de réplication appropriée aux compartiments chiffrés SSE-S3 ou SSE-KMS.
+ **Configurer SSES3 la réplication** :
Configure la réplication Amazon S3 pour les compartiments chiffrés avec le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3), y compris les rôles IAM et les règles de réplication.
+ **Configurez SSEKMSReplication** :
Configure la réplication Amazon S3 pour les compartiments chiffrés avec le chiffrement côté serveur AWS KMS (SSE-KMS), y compris les rôles IAM, les autorisations clés KMS et les règles de réplication.
+ **CleanupResources**:
Nettoie les rôles IAM créés lors de l'échec de la configuration de réplication lorsque S3 n'ReplicationRole a pas été fourni par le client.
1. Une fois l'opération terminée, passez en revue les résultats de l'étape **Configurer la SSES3 réplication** (pour les compartiments chiffrés SSE-S3) ou de l'SSEKMSReplicationétape **Configurer** (pour les compartiments chiffrés SSE-KMS) pour connaître les résultats de l'exécution, notamment l'état de la configuration de la réplication ainsi que le rôle IAM utilisé pour la réplication.
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Support des flux de travail automatisés](https://aws.amazon.com/premiumsupport/technology/saw/)
# `AWSSupport-EmptyS3Bucket`
**Description**
Le runbook `AWSSupport-EmptyS3Bucket` d'automatisation vide un compartiment Amazon Simple Storage Service (Amazon S3) existant en utilisant une règle de configuration d'expiration du cycle de vie.
**Important**
Les compartiments Amazon S3 avec authentification multifactorielle (MFA) activée ne sont pas pris en charge.
Les règles de cycle de vie modifiées par ce runbook suppriment définitivement tous les objets et leurs versions dans le compartiment Amazon S3 spécifié. Vous ne pouvez pas récupérer des objets définitivement supprimés. Pour plus d'informations, consultez [Expiring Objects](https://docs.aws.amazon.com//AmazonS3/latest/userguide/lifecycle-expire-general-considerations.html).
**Fonctionnement**
Le runbook `AWSSupport-EmptyS3Bucket` exécute les étapes de haut niveau suivantes :
+ Suspend le versionnement des compartiments, s'il est activé.
+ Met à jour la politique du compartiment afin de refuser tout appel d'`s3:PutObject`API (pour empêcher de nouveaux téléchargements pendant le vidage).
+ Met à jour les règles du cycle de vie pour supprimer tous les objets en fonction des jours d'expiration spécifiés dans les paramètres d'entrée.
**Note**
Les versions d'objets protégées par Amazon S3 Object Lock ne sont ni supprimées ni remplacées par les configurations du cycle de vie.
Le processus de suppression est asynchrone et peut prendre du temps une fois l'exécution du runbook terminée.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-EmptyS3Bucket)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
/
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook :
+ SMS : DescribeAutomationExecutions
+ SMS : GetAutomationExecution
+ s3 : GetBucketVersioning
+ s3 : PutBucketVersioning
+ s3 : GetBucketPolicy
+ s3 : GetBucketLifecycleConfiguration
+ s3 : GetLifecycleConfiguration
+ s3 : PutBucketPolicy
+ s3 : PutBucketLifecycleConfiguration
+ s3 : PutLifecycleConfiguration
+ s3 : DeleteBucketPolicy
+ s3 : DeleteBucketLifecycle
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-EmptyS3Bucket/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-EmptyS3Bucket/description)à Systems Manager sous Documents.
1. Sélectionnez Execute automation (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
Amazon Resource Name (ARN) du rôle AWS Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **S3 BucketName :**
Le nom du compartiment Amazon S3 que vous souhaitez vider.
+ **SNSTopicArne :**
Fournissez l'ARN de la rubrique Amazon SNS pour la notification d'approbation. Cette rubrique Amazon SNS est utilisée pour envoyer des notifications d'approbation lorsque cela est nécessaire lors de l'exécution de l'automatisation.
+ **Approbation IAM :**
Fournissez une liste des principaux AWS authentifiés qui sont en mesure d'approuver ou de rejeter l'action. Le nombre maximum d'approbateurs est `10` de. Vous pouvez spécifier des principes en utilisant l'un de ces formats, un nom d'utilisateur Gestion des identités et des accès AWS (IAM), un ARN d'utilisateur IAM, un ARN de rôle IAM ou un ARN d'utilisateur de rôle IAM assume.
+ **MinimumRequiredApprovals(Facultatif) :**
Le nombre minimum d'approbations requises pour que l'automatisation reprenne. Si vous ne spécifiez aucune valeur, le système prend par défaut la valeur. `1` La valeur de ce paramètre doit être un nombre positif. La valeur de ce paramètre ne peut pas dépasser le nombre d'approbateurs défini par le paramètre ApproverIam.
+ **NoncurrentVersionExpirationDays(Facultatif) :**
Spécifiez le nombre de jours pendant lesquels les versions d'objet non actuelles expirent. Lorsqu'elles expirent, Amazon S3 supprime définitivement les versions d'objet anciennes.
+ Valeur par défaut : `1`
+ Valeur maximale : `365`
+ **ExpirationDays (Facultatif) :**
Spécifiez l'expiration du cycle de vie de l'objet sous forme de jours.
+ Valeur par défaut : `1`
+ Valeur maximale : `365`
+ **AbortIncompleteMultipartUpload(Facultatif) :**
Spécifiez les jours écoulés depuis le lancement d'un chargement partitionné incomplet pendant lesquels Amazon S3 attendra avant de supprimer définitivement toutes les parties du téléchargement.
+ Valeur par défaut : `1`
+ Valeur maximale : `365`
+ **Remerciement :**
Veuillez lire les détails complets des actions effectuées par ce manuel d'automatisation et donnez votre consentement `Yes, I understand and acknowledge` si vous reconnaissez les étapes.
![\[Image contenant des exemples de paramètres d'entrée pour le document AWSSupport-EmptyS 3Bucket.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-empty-s3-bucket_input_parameters.png)
1. Sélectionnez Exécuter.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **`checkConcurrency`**:
Garantit qu'il n'y a qu'une seule exécution de ce runbook ciblant le compartiment Amazon S3 spécifié. Si le runbook trouve une autre exécution en cours ciblant le même nom de bucket, il renvoie une erreur et se termine.
+ **`getBucketVersioningConfiguration`**:
Récupère le statut de version du compartiment Amazon S3 spécifié.
+ **`branchOnStoppingIfMFADeleteEnabled`**(conditionnel) :
Arrête l'automatisation si l'authentification multifactorielle (MFA) est activée sur le compartiment Amazon S3 spécifié.
+ **`approvalToMakeChangesToTheProvidedS3Bucket`**:
Attend l'approbation des responsables désignés pour désactiver le versionnement des compartiments et mettre à jour la configuration de la politique des compartiments et des règles de cycle de vie pour le compartiment Amazon S3 spécifié.
+ **`branchOnBucketVersioningStatus`**(conditionnel) :
Si le versionnement est activé sur le compartiment Amazon S3 spécifié, désactivez-le, sinon continuez à mettre à jour la politique du compartiment et la configuration du cycle de vie.
+ **`suspendBucketVersioning`**:
Suspend l'état de versionnement du compartiment Amazon S3 spécifié.
+ **`updateBucketPolicyAndLifeCycleConfiguration`**:
Ajoute ou met à jour la politique de compartiment pour refuser toutes les `s3:PutObject` demandes et met à jour la configuration du cycle de vie pour faire expirer les objets en fonction des paramètres d'entrée fournis par l'utilisateur.
+ **`branchOnFailingIfBucketPropertiesNotUpdated`**(conditionnel) :
Vérifie le statut de l'`updateBucketPolicyAndLifeCycleConfiguration`étape et essaie de rétablir l'état de versionnement du bucket d'origine s'il est modifié par automatisation.
+ **`branchOnFailureOriginalVersioningStatus`**(conditionnel) :
En cas d'échec, branches pour déterminer le statut de version d'origine. S'il a été activé et suspendu par cette automatisation, essaie de l'activer à nouveau.
+ **`onFailureRestoreBucketVersioning`**
Restaure l'état de versionnement activé du compartiment Amazon S3 spécifié.
1. Une fois terminé, consultez la section Sorties pour obtenir les résultats détaillés de l'exécution :
![\[Image contenant le résultat de l'exécution du document AWSSupport-EmptyS 3Bucket montrant une exécution réussie et une politique de cycle de vie configurée.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-empty-s3-bucket_outputs.png)
+ **Exécution réussie**
Ce flux de travail met à jour la règle du cycle de vie du bucket. Les objets seront supprimés conformément à la politique de `Delete-All-AWSSupport-EmptyS3-Bucket` cycle de vie.
![\[Image contenant la politique de cycle de vie Delete-All-AWSSupport-EmptyS à 3 compartiments configurée.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-empty-s3-bucket_outputs_lifecycle_policy.png)
+ **Échec de l'exécution**
Aucune suppression partielle ne sera effectuée. Si l'exécution échoue, le cycle de vie et les autres paramètres du compartiment sont annulés.
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-EmptyS3Bucket/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Support des flux de travail automatisés](https://aws.amazon.com/premiumsupport/technology/saw/)
Pour plus d'informations sur la gestion des compartiments et des objets Amazon S3, consultez la section [Vidage d'un](https://docs.aws.amazon.com//AmazonS3/latest/userguide/empty-bucket.html) compartiment.
# `AWSSupport-TroubleshootS3EventNotifications`
**Description**
Le manuel `AWSSupport-TroubleshootS3EventNotifications` AWS Systems Manager d'automatisation permet de résoudre les problèmes liés aux notifications d'événements de compartiment Amazon Simple Storage Service (Amazon S3) configurées avec des fonctions AWS Lambda , des rubriques Amazon Simple Notification Service (Amazon SNS) ou des files d'attente Amazon Simple Queue Service (Amazon SQS). Il fournit un rapport sur les paramètres de configuration des différentes ressources configurées avec le compartiment Amazon S3 en tant que notification d'événement de destination.
**Fonctionnement**
Le runbook exécute les étapes suivantes :
+ Vérifie si le compartiment Amazon S3 existe dans le même compte que celui où `AWSSupport-TroubleshootS3EventNotifications` il est exécuté.
+ Récupère les ressources de destination (AWS Lambda Function, rubrique Amazon SNS ou file d'attente Amazon SQS) configurées en tant que notifications d'événements pour le compartiment Amazon S3 à l'aide de l'API. [GetBucketNotificationConfiguration](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotificationConfiguration.html)
+ Valide l'existence de la ressource de destination, puis passe en revue la politique basée sur les ressources des ressources de destination afin de déterminer si Amazon S3 est autorisé à publier sur la destination.
+ Si vous avez chiffré la destination avec une clé AWS Key Management Service (AWS KMS), la politique des clés est vérifiée pour déterminer si l'accès à Amazon S3 est autorisé.
+ Génère un rapport de toutes les vérifications des ressources de destination.
**Important**
Ce runbook ne peut évaluer les configurations de notification d'événements que si le propriétaire du compartiment Amazon S3 est le même que celui où le runbook d'automatisation est exécuté. Compte AWS
En outre, ce runbook ne peut pas évaluer les politiques relatives aux ressources de destination hébergées dans un autre Compte AWS.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootS3EventNotifications)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ S3 BucketName
Type : `AWS::S3::Bucket::Name`
Description : (Obligatoire) Le nom du compartiment Amazon S3 configuré avec des notifications d'événements.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `s3:GetBucketLocation`
+ `s3:ListAllMyBuckets`
+ `s3:GetBucketNotification`
+ `sqs:GetQueueAttributes`
+ `sqs:GetQueueUrl`
+ `sns:GetTopicAttributes `
+ `kms:GetKeyPolicy`
+ `kms:DescribeKey`
+ `kms:ListAliases`
+ `lambda:GetPolicy`
+ `lambda:GetFunction`
+ `iam:GetContextKeysForCustomPolicy`
+ `iam:SimulateCustomPolicy`
+ `iam:ListRoles`
+ `ssm:DescribeAutomationStepExecutions`
**Exemple de politique IAM pour le rôle Automation Assume**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Permission",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "S3PermissionGetBucketNotification",
"Effect": "Allow",
"Action": [
"s3:GetBucketNotification"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
},
{
"Sid": "SQSPermission",
"Effect": "Allow",
"Action": [
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl"
],
"Resource": "arn:aws:sqs:us-east-1:111122223333:*"
},
{
"Sid": "SNSPermission",
"Effect": "Allow",
"Action": [
"sns:GetTopicAttributes"
],
"Resource": "arn:aws:sns:us-east-1:111122223333:*"
},
{
"Sid": "KMSPermission",
"Effect": "Allow",
"Action": [
"kms:GetKeyPolicy",
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id"
},
{
"Sid": "LambdaPermission",
"Effect": "Allow",
"Action": [
"lambda:GetPolicy",
"lambda:GetFunction"
],
"Resource": "arn:aws:lambda:us-east-1:111122223333:function:*"
},
{
"Sid": "IAMPermission",
"Effect": "Allow",
"Action": [
"iam:GetContextKeysForCustomPolicy",
"iam:SimulateCustomPolicy",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "SSMPermission",
"Effect": "Allow",
"Action": [
"ssm:DescribeAutomationStepExecutions"
],
"Resource": "*"
}
]
}
```
------
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootS3EventNotifications/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootS3EventNotifications/description)à Systems Manager sous Documents.
1. Sélectionnez Execute automation (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
Amazon Resource Name (ARN) du rôle AWS Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **S3 BucketName (obligatoire) :**
Nom du compartiment Amazon S3 configuré avec des notifications d'événements.
![\[AWSSupport-TroubleshootS3 paramètres d'entrée pour l'exécution du EventNotification runbook.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-s3-event-notifications_input_parameters.png)
1. Sélectionnez Exécuter.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **ValidateInputs**
Valide que le compartiment Amazon S3 fourni appartient au même compte sur lequel l'automatisation est exécutée et récupère la région dans laquelle le compartiment est hébergé.
+ **GetBucketNotificationConfiguration**
Appelle `GetBucketNotificationConfiguration` l'API pour examiner les notifications d'événements configurées avec le compartiment Amazon S3 et formater la sortie.
+ **BranchOnSQSResourceStratégie**
Des branches sur la présence de ressources Amazon SQS dans les notifications d'événements.
+ **Valider SQSResource la politique**
Valide la politique de ressources sur les attributs de la file d'attente Amazon SQS et `sqs:SendMessage` dispose d'une autorisation pour Amazon S3. Si la ressource Amazon SQS est chiffrée, vérifie que le chiffrement n'utilise pas la AWS KMS clé par défaut, c'est-à-dire que la politique en `aws/sqs` matière de AWS KMS clés prévoit des autorisations pour Amazon S3.
+ **BranchOnSNSResourceStratégie**
Des branches sur la présence de ressources Amazon SNS dans les notifications d'événements.
+ **Valider SNSResource la politique**
Valide la politique de ressources sur Amazon SNS. Les attributs de la rubrique sont `sns:Publish` autorisés pour Amazon S3. Si la ressource Amazon SNS est chiffrée, vérifie que le chiffrement n'utilise pas la AWS KMS clé par défaut, c'est-à-dire que la politique en `aws/sns` matière de AWS KMS clés prévoit des autorisations pour Amazon S3.
+ **BranchOnLambdaFunctionResourcePolicy**
Indique s'il existe des AWS Lambda fonctions dans les notifications d'événements.
+ **ValidateLambdaFunctionResourcePolicy**
Valide la politique de ressources si la AWS Lambda fonction est `lambda:InvokeFunction` autorisée à accéder à Amazon S3.
+ **GenerateReport**
Renvoie les détails des étapes, des résultats du runbook et des recommandations pour résoudre tout problème lié aux notifications d'événements configurées avec le compartiment Amazon S3.
1. Une fois terminé, consultez la section Sorties pour obtenir les résultats détaillés de l'exécution :
+ **Notifications d'événements Amazon SQS**
Si des notifications de destination Amazon SQS sont configurées avec le compartiment Amazon S3, une liste des files d'attente Amazon SQS s'affiche à côté des résultats des vérifications. Le rapport inclut la vérification des ressources Amazon SQS, la vérification de la politique d'accès Amazon SQS, la vérification des clés AWS KMS , la vérification de l'état des clés AWS KMS et la vérification de la politique des clés. AWS KMS
+ **Notifications d'événements Amazon SNS**
Si des notifications de destination Amazon SNS sont configurées avec le compartiment Amazon S3, une liste des rubriques Amazon SNS s'affiche à côté des résultats des vérifications. Le rapport inclut la vérification des ressources Amazon SNS, la vérification de la politique d'accès Amazon SNS, la vérification des clés AWS KMS , la vérification de l'état des clés AWS KMS et la vérification de la politique des clés. AWS KMS
+ **AWS Lambda Notifications d'événements**
Si des notifications de AWS Lambda destination sont configurées avec le compartiment Amazon S3, une liste des fonctions Lambda s'affiche à côté des résultats des vérifications. Le rapport inclut le contrôle des ressources Lambda et le contrôle de la politique d'accès Lambda.
![\[AWSSupport-TroubleshootS3 exemples de sortie d'exécution d'un EventNotification runbook.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-s3-event-notifications_outputs.png)
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootS3EventNotifications/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
# `AWSSupport-ContainS3Resource`
**Description**
Le `AWSSupport-ContainS3Resource` runbook fournit une solution automatisée pour la procédure décrite dans l'article [Support Automation Workflow (SAW) Runbook : Contain a compromise AWS Amazon](https://repost.aws/articles/ARhGc0hDqKRIKAVCbmF1GmuQ) S3 Bucket
**Important**
Ce runbook effectue diverses opérations qui nécessitent des privilèges élevés, telles que la modification des politiques relatives aux compartiments Amazon S3, des balises et des configurations d'accès public. Ces actions peuvent potentiellement entraîner une augmentation des privilèges ou avoir un impact sur d'autres charges de travail qui dépendent du compartiment Amazon S3 ciblé. Vous devez vérifier les autorisations accordées au rôle spécifié par le `AutomationAssumeRole` paramètre et vous assurer qu'elles sont adaptées au cas d'utilisation prévu. Vous pouvez consulter la AWS documentation suivante pour plus d'informations sur les autorisations IAM : [https://docs.aws.amazon.com//IAM/latest/UserGuide/access_controlling.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_controlling.html).
Ce runbook exécute des actions mutatives susceptibles d'entraîner une indisponibilité ou une interruption de vos charges de travail. Plus précisément, l'`Contain`action bloque tout accès au compartiment Amazon S3 spécifié, à l'exception des rôles spécifiés dans le `SecureRoles` paramètre. Cela peut avoir un impact sur les applications ou les services qui dépendent du compartiment Amazon S3 ciblé.
Au cours de l'`Contain`action, ce runbook peut créer un compartiment Amazon S3 supplémentaire (spécifié par le `BackupS3BucketName` paramètre) pour stocker la sauvegarde de la configuration du compartiment d'origine, si celui-ci n'existe pas déjà.
Si le `Action` paramètre est défini sur`Restore`, ce runbook tente de restaurer la configuration du compartiment Amazon S3 à son état d'origine en fonction de la sauvegarde stockée dans le `BackupS3BucketName` compartiment. Cependant, le processus de restauration risque d'échouer, laissant le compartiment Amazon S3 dans un état incohérent. Le manuel d'exécution fournit des instructions pour la restauration manuelle en cas de telles défaillances, mais vous devez être prêt à gérer les problèmes potentiels pendant le processus de restauration.
Il est recommandé de lire attentivement le runbook, de comprendre ses impacts potentiels et de le tester dans un environnement hors production avant de l'exécuter dans votre environnement de production.
**Fonctionnement**
Ce runbook fonctionne différemment en fonction du type de ressource et de l'action :
+ Pour le bucket Amazon S3 à usage général `Containment` : l'automatisation bloque l'accès public au bucket, désactive la configuration ACL, impose la propriété de l'objet au propriétaire du bucket et impose une politique restrictive interdisant toutes les actions Amazon S3 sur le bucket, à l'exception des rôles IAM autorisés listés.
+ Pour les objets à usage général Amazon S3 `Containment` : l'automatisation bloque l'accès public au bucket, désactive la configuration ACL, impose la propriété de l'objet au propriétaire du bucket et met en place une politique de bucket restrictive interdisant toutes les actions Amazon S3 sur l'objet, à l'exception des rôles IAM autorisés répertoriés.
+ Pour le compartiment d'annuaire Amazon S3 `Containment` : l'automatisation impose une politique de compartiment restrictive interdisant toutes les actions Amazon S3 sur le compartiment, à l'exception des rôles IAM autorisés répertoriés.
+ Pour le bucket à usage général Amazon S3 `Restore` : l'automatisation rétablit la configuration Block Public Access, la configuration Bucket ACL, la propriété de l'objet par le propriétaire du bucket et la politique du bucket dans leur configuration initiale avant le confinement.
+ Pour l'objet à usage général Amazon S3 `Restore` : l'automatisation rétablit la configuration Block Public Access, la configuration Bucket ACL, la configuration ACL Object, la propriété de l'objet Bucket Owner Object Object Object Object Object Object Object et la politique du bucket dans leur configuration initiale avant le confinement.
+ Pour le compartiment d'annuaire Amazon S3 `Restore` : l'automatisation rétablit la politique du compartiment dans sa configuration initiale avant le confinement.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ContainS3Resource)
**Types de document**
Automatisation
**Propriétaire**
Amazon
**Plateforme**
/
**Autorisations IAM nécessaires**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ s3 : CreateBucket
+ s3 : DeleteBucketPolicy
+ s3 : DeleteObjectTagging
+ s3 : GetAccountPublicAccessBlock
+ s3 : GetBucketAcl
+ s3 : GetBucketLocation
+ s3 : GetBucketOwnershipControls
+ s3 : GetBucketPolicy
+ s3 : GetBucketPolicyStatus
+ s3 : GetBucketTagging
+ s3 : GetEncryptionConfiguration
+ s3 : GetObject
+ s3 : GetObjectAcl
+ s3 : GetObjectTagging
+ s3 : GetReplicationConfiguration
+ s3 : ListBucket
+ s3 : PutAccountPublicAccessBlock
+ s3 : PutBucket ACL
+ s3 : PutBucketOwnershipControls
+ s3 : PutBucketPolicy
+ s3 : PutBucketPublicAccessBlock
+ s3 : PutBucketTagging
+ s3 : PutBucketVersioning
+ s3 : PutObject
+ s3 : PutObjectAcl
+ S3 Express : CreateSession
+ S3 Express : DeleteBucketPolicy
+ S3 Express : GetBucketPolicy
+ S3 Express : PutBucketPolicy
+ SMS : DescribeAutomationExecutions
Voici un exemple de politique IAM qui accorde les autorisations nécessaires pour : `AutomationAssumeRole`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucketPolicy",
"s3:DeleteObjectTagging",
"s3:GetAccountPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketOwnershipControls",
"s3:GetBucketPolicy",
"s3:GetBucketPolicyStatus",
"s3:GetBucketTagging",
"s3:GetEncryptionConfiguration",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectTagging",
"s3:GetReplicationConfiguration",
"s3:ListBucket",
"s3:PutAccountPublicAccessBlock",
"s3:PutBucketACL",
"s3:PutBucketOwnershipControls",
"s3:PutBucketPolicy",
"s3:PutBucketPublicAccessBlock",
"s3:PutBucketTagging",
"s3:PutBucketVersioning",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "*"
},
{
"Sid": "S3ExpressPermissions",
"Effect": "Allow",
"Action": [
"s3express:CreateSession",
"s3express:DeleteBucketPolicy",
"s3express:GetBucketPolicy",
"s3express:PutBucketPolicy"
],
"Resource": "*"
},
{
"Sid": "SSMPermissions",
"Effect": "Allow",
"Action": [
"ssm:DescribeAutomationExecutions"
],
"Resource": "*"
}
]
}
```
------
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ContainS3Resource/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ContainS3Resource/description)à Systems Manager sous Documents.
1. Sélectionnez Execute automation (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **BucketName (Obligatoire) :**
+ Description : (Obligatoire) Nom du compartiment Amazon S3.
+ Type : `AWS::S3::Bucket::Name`
+ **Action (obligatoire) :**
+ Description : (Obligatoire) Sélectionnez `Contain` cette option pour isoler la ressource Amazon S3 ou `Restore` pour essayer de restaurer la configuration de la ressource dans son état d'origine à partir d'une sauvegarde précédente.
+ Type : Chaîne
+ Valeurs autorisées : `Contain|Restore`
+ **DryRun (Facultatif) :**
+ Description : (Facultatif) Lorsqu'elle est définie sur true, l'automatisation n'apporte aucune modification à la ressource Amazon S3 cible, mais affiche ce qu'elle aurait tenté de modifier. Valeur par défaut : true.
+ Type : Boolean
+ Valeurs autorisées : `true|false`
+ **BucketKeyName (Facultatif) :**
+ Description : (Facultatif) La clé de l'objet Amazon S3 que vous souhaitez contenir ou restaurer. Utilisé lors du confinement au niveau de l'objet.
+ Type : Chaîne
+ Modèle autorisé : `^[a-zA-Z0-9\\.\\-_\\\\!*'()/]{0,1024}$`
+ **BucketRestrictAccess(Conditionnel) :**
+ Description : (Conditionnel) L'ARN des utilisateurs ou des rôles IAM qui seront autorisés à accéder à la ressource Amazon S3 cible après avoir exécuté les actions de confinement. Ce paramètre est obligatoire lorsqu'il `Action` est défini sur`Contain`.
+ Type : StringList
+ Modèle autorisé : `^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::[0-9]{12}:(role|user)\\/[\\w+\\/=,.@-]+$`
+ **TagIdentifier (Facultatif) :**
+ Description : (Facultatif) Une balise au format Key=BatchId, Value=78925 qui sera ajoutée aux ressources créées ou modifiées par ce runbook pendant le flux de travail de confinement.
+ Type : Chaîne
+ Modèle autorisé : `^$|^[Kk][Ee][Yy]=[\\+\\-\\=\\.\\_\\:\\/@a-zA-Z0-9]{1,128},[Vv][Aa][Ll][Uu][Ee]=[\\+\\-\\=\\.\\_\\:\\/@a-zA-Z0-9]{0,128}$`
+ **BackupS3 BucketName (conditionnel) :**
+ Description : (Conditionnel) Le compartiment Amazon S3 permettant de sauvegarder la configuration des ressources cibles lorsqu'elle `Action` est définie sur `Contain` ou de restaurer la configuration à partir de laquelle elle `Action` est définie sur`Restore`.
+ Type : `AWS::S3::Bucket::Name`
+ **BackupS3 KeyName (conditionnel) :**
+ Description : (Conditionnel) Si ce paramètre `Action` est défini sur`Restore`, cela indique la clé Amazon S3 que l'automatisation utilisera pour tenter de restaurer la configuration des ressources cibles.
+ Type : Chaîne
+ Modèle autorisé : `^[a-zA-Z0-9\\.\\-_\\\\!*'()/]{0,1024}$`
+ **BackupS3 BucketAccess (conditionnel) :**
+ Description : (Conditionnel) L'ARN des utilisateurs ou des rôles IAM qui seront autorisés à accéder au compartiment Amazon S3 de sauvegarde après avoir exécuté les actions de confinement. Ce paramètre est obligatoire quand c'`Action`est le cas`Contain`.
+ Type : StringList
+ Modèle autorisé : `^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::[0-9]{12}:(role|user)\\/[\\w+\\/=,.@-]+$`
+ **AutomationAssumeRole (Facultatif) :**
+ Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle IAM qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ Type : `AWS::IAM::Role::Arn`
1. Sélectionnez Exécuter.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **validateRequiredInputs**
Valide les paramètres d'entrée d'automatisation requis en fonction de l'action spécifiée.
+ **assertBucketExists**
Vérifie si le compartiment Amazon S3 cible existe et est accessible.
+ **backupBucketPreChèques**
Vérifie si le compartiment Amazon S3 de sauvegarde accorde potentiellement un accès public en lecture ou en écriture à ses objets.
+ **backupTargetBucketMetadonnées**
Décrit la configuration actuelle du compartiment Amazon S3 cible et télécharge la sauvegarde dans le compartiment Amazon S3 de sauvegarde spécifié.
+ **Contenir un seau**
Effectue des opérations au niveau du compartiment pour contenir le compartiment Amazon S3 cible.
+ **BranchOnActionAndMode**
Branche l'automatisation en fonction des paramètres d'entrée Action et DryRun.
+ **RestoreInstanceConfiguration**
Restaure la configuration du compartiment Amazon S3 à partir de la sauvegarde.
+ **containFinalOutput**
Consolide l'activité de confinement dans un format lisible.
+ **ReportContain**
Affiche les détails du cycle à sec pour les actions de confinement.
+ **ReportRestore**
Affiche les détails du fonctionnement à sec pour les actions de restauration.
+ **ReportRestoreFailure**
Fournit des instructions pour restaurer la configuration d'origine du compartiment Amazon S3 lors d'un scénario d'échec du flux de restauration.
+ **ReportContainmentFailure**
Fournit des instructions pour restaurer la configuration initiale du compartiment Amazon S3 lors d'un scénario d'échec du flux de travail de confinement.
+ **FinalOutput**
Affiche les détails des actions de confinement.
1. Une fois l'exécution terminée, consultez la section Sorties pour obtenir les résultats détaillés de l'exécution :
+ **ContainFinalOutput.Sortie**
Affiche les détails des actions de confinement effectuées par ce runbook lorsqu'il `DryRun` est défini sur False.
+ **RestoreFinalOutput.Sortie**
Affiche les détails des actions de restauration effectuées par ce runbook lorsqu'il `DryRun` est défini sur False.
+ **Contient S3ResourceDryRun. Sortie**
Affiche les détails des actions de confinement effectuées par ce runbook lorsqu'il `DryRun` est défini sur True.
+ **Restaure 3ResourceDryRun. Output**
Affiche les détails des actions de restauration effectuées par ce runbook lorsqu'il `DryRun` est défini sur True.
+ **ReportContainmentFailure.Sortie**
Fournit des instructions pour restaurer la configuration initiale de la ressource Amazon S3 cible lors d'un scénario d'échec du flux de travail de confinement.
+ **ReportRestoreFailure.Sortie**
Fournit des instructions pour restaurer la configuration initiale de la ressource Amazon S3 cible lors d'un scénario d'échec du flux de restauration.
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ContainS3Resource/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Support des flux de travail automatisés](https://aws.amazon.com/premiumsupport/technology/saw/)
# Amazon SES
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon Simple Email Service. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSSupport-AnalyzeSESMessageSendingStatus`](awssupport-analyze-ses-message-sending-status.md)
+ [`AWSSupport-DeploySESSendingLogsToCloudWatchLogs`](automation-awssupport-deploysessendinglogstocloudwatchlogs.md)
# `AWSSupport-AnalyzeSESMessageSendingStatus`
**Description**
Le manuel `AWSSupport-AnalyzeSESMessageSendingStatus` d'automatisation résume l'état de livraison des e-mails non livrés et vous donne des conseils pour déterminer pourquoi ils n'ont pas été livrés. Le runbook récupère les événements d'envoi d'e-mails Amazon Simple Email Service (Amazon SES) stockés dans un groupe Amazon CloudWatch Logs publié par Amazon SES. Pour plus d'informations sur la publication d'événements Amazon SES, reportez-vous à la section [Surveillance à l'aide de la publication d'événements Amazon Simple Email Service](https://docs.aws.amazon.com/ses/latest/dg/monitor-using-event-publishing.html). Le runbook fournit également un résumé et la chronologie des envois d'e-mails ainsi que des recommandations susceptibles d'affecter les e-mails non livrés. Vous pouvez trouver ces messages dans la section de sortie de chaque exécution. Notez que ce runbook ne peut résoudre les événements qu'après le déploiement du magasin d'événements.
**Fonctionnement**
Le runbook exécute les étapes suivantes :
+ Vérifie les exécutions automatisées simultanées pour le même groupe de CloudWatch journaux.
+ Analysez les événements Amazon SES correspondant au message IDs fourni par le paramètre d'automatisation.
+ Exportez les résumés de livraison vers la section de sortie de l'exécution de l'automatisation.
**Important**
Avant d'exécuter ce runbook, vous devez stocker les événements Amazon SES publiés dans un groupe de CloudWatch journaux Logs spécifié par le paramètre d'automatisation. Ce runbook analyse uniquement les événements Amazon SES stockés dans le groupe de journaux.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-AnalyzeSESMessageSendingStatus)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `logs:StartQuery`
+ `logs:GetQueryResults`
+ `ses:GetIdentityMailFromDomainAttributes`
+ `ses:GetSendQuota`
+ `ssm:DescribeAutomationExecutions`
+ `ssm:GetAutomationExecution`
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-AnalyzeSESMessageSendingStatus/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-AnalyzeSESMessageSendingStatus/description)à Systems Manager sous Documents.
1. Sélectionnez Execute automation (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
Amazon Resource Name (ARN) du rôle AWS Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **MessageIds (Obligatoire)**
Message Amazon Simple Email Service séparé par IDs des virgules indiquant les événements Amazon Simple Email Service que vous souhaitez analyser.
+ **CloudWatchLogsGroup (Facultatif)**
Le groupe Amazon CloudWatch Logs qui stocke les événements Amazon Simple Email Service. Le nom du groupe de journaux par défaut est `/ses/sending\$1event\$1logs`. Si vous souhaitez utiliser un autre groupe de journaux que le groupe de journaux par défaut, entrez le nom de votre groupe de journaux dans ce champ. «,
+ **QueryStartTime (Facultatif)**
Heure de début de la plage horaire pour l'analyse des événements. Le format d'heure valide est ISO8601 (par exemple `YYYY-MM-DDTHH:MM:SS`, `1970-01-01T 00:00:00 `). La date et l'heure par défaut sont il y a 30 jours.
+ **QueryEndTime (Facultatif)**
Heure de fin de la plage horaire pour l'analyse des événements. Le format d'heure valide est ISO8601 (par exemple `YYYY-MM-DDTHH:MM:SS`, `1970-01-01T 00:00:00 `). La date et l'heure par défaut sont l'heure actuelle.
![\[Section des paramètres d'entrée de la console de gestion qui affiche les zones de texte pour les cinq paramètres ci-dessus.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-analyze-ses-message-sending-status_input_parameters.png)
1. Sélectionnez Exécuter.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **`CheckConcurrency:`**
Garantit qu'il n'y a qu'une seule exécution de ce runbook ciblant le groupe Amazon CloudWatch Logs. Si le runbook trouve une autre exécution ciblant le même groupe de journaux, il renvoie une erreur et se termine.
+ **`AnalyzeSesEvents:`**
Analysez les événements Amazon Simple Email Service stockés dans le groupe Amazon CloudWatch Logs spécifié par le paramètre d'automatisation.
+ **`OutputFailureReason:`**
Afficher les messages d'échec de l'étape d'exécution en cas d'échec de l'`AnalyzeSESMessageSendingStatus`étape.
1. Une fois terminé, consultez la section Sorties pour obtenir les résultats détaillés de l'exécution :
+ **Résultat de l'analyse d'un e-mail non livré en raison d'un rebond**
Résultat d'une exécution automatique pour un message électronique qui n'a pas atteint la boîte aux lettres de destination en raison d'un rebond.
![\[Exemple de sortie d'exécution automatique d'un identifiant de message ayant reçu un rebond du serveur de messagerie de destination.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-analyze-ses-message-sending-status_outputs.png)
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-AnalyzeSESMessageSendingStatus/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
# `AWSSupport-DeploySESSendingLogsToCloudWatchLogs`
**Description**
**Le** manuel AWSSupport-DeploySESSendingLogsToCloudWatchLogs d'automatisation permet de configurer l'infrastructure requise pour la publication d'événements Amazon Simple Email Service (Amazon SES) sur CloudWatch Amazon Logs CloudWatch (Logs). Ce runbook définit les composants nécessaires pour capturer les événements d'envoi d'e-mails et les stocker dans des CloudWatch journaux à des fins de surveillance et d'analyse. Pour plus d'informations sur la publication d'événements Amazon SES, consultez [Surveiller l'envoi d'e-mails à l'aide de la publication d'événements Amazon SES](https://docs.aws.amazon.com/ses/latest/dg/monitor-using-event-publishing.html).
Lorsque le `ApproveDeployAnalyticEnvironment` paramètre est défini sur`approve`, ce runbook crée de nouvelles AWS ressources dans votre AWS compte. La CloudFormation pile est automatiquement supprimée après la durée spécifiée dans le `SleepTime` paramètre, sauf si elle est définie sur`0`.
**Fonctionnement**
Ce runbook exécute les actions suivantes :
+ Répertorie les ensembles de configuration existants dont les destinations d'événements sont configurées pour les sujets ou les flux de diffusion Amazon Simple Notification Service (Amazon SNS).
+ Crée l'infrastructure requise pour la publication d'événements Amazon SES dans CloudWatch Logs lorsque le `ApproveDeployAnalyticEnvironment` paramètre est défini sur`approve`.
Lorsque le `ApproveDeployAnalyticEnvironment` paramètre est défini sur`approve`, le runbook crée les ressources suivantes :
+ Une CloudFormation pile nommée `AWSSupport-SESSendingLogsToCloudWatchLogs` qui inclut :
+ Rubrique Amazon SNS avec chiffrement AWS Key Management Service ()AWS KMS
+ File d'attente Amazon Simple Queue Service (Amazon SQS)
+ AWS Lambda fonction de traitement des événements d'envoi d'e-mails
+ Gestion des identités et des accès AWS rôle d'exécution (IAM) avec autorisations pour Amazon CloudWatch SQS et Logs
+ CloudWatch Logs, groupe de journaux
+ AWS KMS clé de chiffrement
+ Configuration Amazon SES définie avec les destinations des événements
+ L'infrastructure traite les événements d'envoi d'e-mails dans le flux suivant : Amazon SES Email Sending Events → Amazon SES Configuration Set → Rubrique Amazon SNS → Amazon SQS Queue → Fonction Lambda → Logs CloudWatch
+ Associe le jeu de configuration créé en tant que jeu de configuration par défaut pour une identité Amazon SES spécifiée lorsque le `SesIdentity` paramètre est fourni.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-DeploySESSendingLogsToCloudWatchLogs)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
/
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `cloudformation:CreateStack`
+ `cloudformation:DeleteStack`
+ `cloudformation:DescribeStackEvents`
+ `cloudformation:DescribeStacks`
+ `iam:CreateRole`
+ `iam:AttachRolePolicy`
+ `iam:PassRole`
+ `kms:CreateKey`
+ `kms:CreateAlias`
+ `lambda:CreateFunction`
+ `lambda:AddPermission`
+ `logs:CreateLogGroup`
+ `logs:PutRetentionPolicy`
+ `ses:CreateConfigurationSet`
+ `ses:CreateConfigurationSetEventDestination`
+ `ses:ListConfigurationSets`
+ `ses:PutEmailIdentityConfigurationSetAttributes`
+ `sns:CreateTopic`
+ `sns:Subscribe`
+ `sqs:CreateQueue`
+ `sqs:SetQueueAttributes`
+ `ssm:DescribeAutomationExecutions`
Exemple de politique :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStacks",
"iam:CreateRole",
"iam:AttachRolePolicy",
"iam:PassRole",
"kms:CreateKey",
"kms:CreateAlias",
"lambda:CreateFunction",
"lambda:AddPermission",
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"ses:CreateConfigurationSet",
"ses:CreateConfigurationSetEventDestination",
"ses:ListConfigurationSets",
"ses:PutEmailIdentityConfigurationSetAttributes",
"sns:CreateTopic",
"sns:Subscribe",
"sqs:CreateQueue",
"sqs:SetQueueAttributes",
"ssm:DescribeAutomationExecutions"
],
"Resource": "*"
}
]
}
```
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-DeploySESSendingLogsToCloudWatchLogs/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-DeploySESSendingLogsToCloudWatchLogs/description)à Systems Manager sous Documents.
1. Sélectionnez **Execute automation** (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
+ Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle IAM qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Type : `AWS::IAM::Role::Arn`
+ **ApproveDeployAnalyticEnvironment (Facultatif) :**
+ Description : (Facultatif) Approbation du déploiement de l'infrastructure de publication d'événements Amazon SES. Entrez `approve` pour créer la CloudFormation pile et les ressources associées. S'il est laissé vide, le runbook affiche uniquement les ensembles de configuration existants ou les destinations des événements Amazon SNS dans la région actuelle.
+ Type : `String`
+ Autoriser le modèle : `^$|^approve$`
+ Valeur par défaut : `""`
+ **SesIdentity (Facultatif) :**
+ Description : (Facultatif) Identité Amazon SES (adresse e-mail ou domaine) à associer au nouveau jeu de configuration en tant que jeu de configuration par défaut. Cela remplacera toute configuration par défaut existante définie pour l'identité spécifiée.
+ Type : `String`
+ Valeur par défaut : `""`
+ **CloudWatchLogGroupName (Facultatif) :**
+ Description : (Facultatif) Nom du groupe de CloudWatch journaux à créer pour stocker les événements d'envoi d'e-mails Amazon SES.
+ Type : `String`
+ Autoriser le modèle : `^[0-9a-zA-Z_.#/\\-]{1,512}$`
+ Valeur par défaut : `/ses/sending_event_logs`
+ **Masque PIIData (facultatif) :**
+ Description : (Facultatif) Spécifiez si vous souhaitez masquer les données d'identification personnelle (PII) telles que les adresses e-mail de destination et les sujets des e-mails dans les CloudWatch journaux. Définissez cette `False` valeur pour inclure ces informations dans les journaux.
+ Type : `String`
+ Valeurs autorisées : `[True, False]`
+ Valeur par défaut : `True`
+ **SleepTime (Facultatif) :**
+ Description : (Facultatif) Nombre de minutes à attendre avant de supprimer automatiquement la CloudFormation pile. La valeur par défaut est de 24 heures (1 440 minutes), le maximum est de 7 jours (10 080 minutes). Réglez sur `0` pour empêcher la suppression automatique.
+ Type : `String`
+ Autoriser le modèle : `^(?:[0-9]|[1-9]\\d{1,3}|100[0-7][0-9])$`
+ Valeur par défaut : `1440`
+ **RetainCloudWatchLogsOnDeletion (Facultatif) :**
+ Description : (Facultatif) Spécifiez si le groupe de CloudWatch journaux doit être conservé lorsque la CloudFormation pile est supprimée. Définissez sur `False` pour supprimer le groupe de journaux ainsi que la pile.
+ Type : `String`
+ Valeurs autorisées : `[True, False]`
+ Valeur par défaut : `True`
+ **UniqueId (Facultatif) :**
+ Description : (Facultatif) identifiant unique du flux de travail.
+ Type : `String`
+ Autoriser le modèle : `\\{\\{ automation:EXECUTION_ID \\}\\}|[a-zA-Z0-9-]+`
+ Valeur par défaut : `{{ automation:EXECUTION_ID }}`
+ Nombre maximum de caractères : `64`
1. Sélectionnez **Exécuter**.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **BranchOnValueOfParameterApproveDeployAnalyticEnvironment**
Détermine s'il faut déployer l'infrastructure de publication d'événements Amazon SES en fonction de la valeur du `ApproveDeployAnalyticEnvironment` paramètre.
+ **GetEligibleConfigurationSets**
Récupère les ensembles de configuration Amazon SES existants et identifie ceux dont les destinations d'événements sont configurées pour les flux de diffusion ou les rubriques Amazon SNS.
+ **CheckConcurrency**
Vérifie qu'aucune pile existante n'existe et qu'aucune autre exécution simultanée de ce runbook ne crée la même pile.
+ **DeploySesEventDestinations**
Crée la CloudFormation pile contenant l'infrastructure de publication d'événements Amazon SES, notamment la rubrique Amazon SNS, la file d'attente Amazon SQS, la fonction Lambda et le groupe de journaux Logs. CloudWatch
+ **RelateConfigurationSetAsDefaultConfigurationSet**
Associe le nouveau jeu de configuration Amazon SES en tant que jeu de configuration par défaut pour l'identité Amazon SES spécifiée (si elle est fournie).
+ **SleepBeforeDeleteCloudFormationStack**
Attend la durée spécifiée dans le SleepTime paramètre avant de procéder à la suppression de la CloudFormation pile.
+ **DeleteCloudFormationStack**
Supprime la CloudFormation pile après la période spécifiée.
1. Une fois l'exécution terminée, consultez la section **Sorties** pour connaître les résultats détaillés de l'exécution.
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-DeploySESSendingLogsToCloudWatchLogs/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
# SageMaker IA
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon SageMaker AI. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-DisableSageMakerNotebookRootAccess`](AWS-DisableSageMakerNotebookRootAccess.md)
# `AWS-DisableSageMakerNotebookRootAccess`
**Description**
Le `AWS-DisableSageMakerNotebookRootAccess` runbook désactive l'accès root sur une instance de bloc-notes Amazon SageMaker AI. Pendant l'automatisation, l'instance du bloc-notes est arrêtée pour apporter les modifications requises. SageMaker Les instances de bloc-notes AI Studio ne sont pas prises en charge.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-DisableSageMakerNotebookRootAccess)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ NotebookInstanceName
Type : Chaîne
Description : (Obligatoire) Nom de l'instance de bloc-notes SageMaker AI sur laquelle désactiver l'accès root.
+ StartInstanceAfterUpdate
Type : Boolean
Valeur par défaut : true
Description : (Facultatif) Détermine si l'instance du bloc-notes est démarrée après la désactivation de l'accès root. Le réglage par défaut de ce paramètre est`true`. Si ce paramètre est défini sur`true`, l'instance est démarrée après la désactivation de l'accès root. Si ce paramètre est défini sur`false`, l'instance reste dans `stopped` cet état une fois l'accès root désactivé.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `sagemaker:DescribeNotebookInstance`
+ `sagemaker:StartNotebookInstance`
+ `sagemaker:StopNotebookInstance`
+ `sagemaker:UpdateNotebookInstance`
**Étapes de document**
+ CheckNotebookInstanceStatus (aws :executeAwsApi) : Vérifie l'état actuel de l'instance de bloc-notes.
+ StopOrUpdateNotebookInstance (aws:branch) : branches basées sur le statut de l'instance du bloc-notes.
+ StopNotebookInstance (aws :executeAwsApi) : Démarre l'instance si le statut est`stopped`.
+ WaitForInstanceToStop (aws : waitForAwsResourceProperty) : Vérifie que l'instance est`stopped`.
+ UpdateNotebookInstance (aws :executeAwsApi) : désactive l'accès root sur l'instance du bloc-notes.
+ WaitForNotebookUpdate (aws : waitForAwsResourceProperty) : Vérifie que l'accès root a été désactivé et que l'instance possède un `stopped` statut.
+ ChooseInstanceStart (aws:branch) : Branche selon que l'instance doit être démarrée ou non.
+ StartNotebookInstance (aws :executeAwsApi) : Démarre l'instance du bloc-notes.
+ VerifyNotebookInstanceStatus (aws : waitForAwsResourceProperty) : Vérifie si l'instance existe `available` avant de désactiver l'accès root.
+ VerifyNotebookInstanceRootAccess (aws : assertAwsResource Propriété) : Vérifie que le paramètre d'accès root à l'instance du bloc-notes est correctement désactivé.
# Secrets Manager
AWS Systems Manager L'automatisation fournit des runbooks prédéfinis pour AWS Secrets Manager. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSConfigRemediation-DeleteSecret`](automation-aws-delete-secret.md)
+ [`AWSConfigRemediation-RotateSecret`](automation-aws-rotate-secret.md)
# `AWSConfigRemediation-DeleteSecret`
**Description**
Le `AWSConfigRemediation-DeleteSecret` runbook supprime un secret et toutes les versions qui y sont stockées. AWS Secrets Manager Vous pouvez éventuellement spécifier la fenêtre de restauration au cours de laquelle vous pouvez restaurer le secret. Si vous ne spécifiez aucune valeur pour le `RecoveryWindowInDays` paramètre, l'opération est par défaut de 30 jours.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteSecret)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ RecoveryWindowInDays
Type : Integer
Valeurs valides : 7-30
Valeur par défaut : 30
Description : (Facultatif) Le nombre de jours pendant lesquels vous pouvez restaurer le secret.
+ SecretId
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du secret que vous souhaitez supprimer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `secretsmanager:DeleteSecret`
+ `secretsmanager:DescribeSecret`
**Étapes de document**
+ `aws:executeAwsApi`- Supprime le secret que vous spécifiez dans le `SecretId` paramètre.
+ `aws:executeScript`- Vérifie que la suppression du secret a été planifiée.
# `AWSConfigRemediation-RotateSecret`
**Description**
Le `AWSConfigRemediation-RotateSecret` runbook fait pivoter un secret qui y est stocké. AWS Secrets Manager
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-RotateSecret)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ RotationInterval
Type : Intervalle
Valeurs valides : 1-365
Description : (Obligatoire) Le nombre de jours entre les rotations du secret.
+ RotationLambdaArn
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) de la AWS Lambda fonction qui peut faire pivoter le secret.
+ SecretId
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du secret que vous souhaitez faire pivoter.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `lambda:InvokeFunction`
+ `secretsmanager:DescribeSecret`
+ `secretsmanager:RotateSecret`
**Étapes de document**
+ `aws:executeAwsApi`- Fait pivoter le secret que vous spécifiez dans le `SecretId` paramètre.
+ `aws:executeScript`- Vérifie que la rotation a été activée sur le secret.
# Security Hub (CSPM)
AWS Systems Manager L'automatisation fournit des runbooks prédéfinis pour AWS Security Hub CSPM. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSConfigRemediation-EnableSecurityHub`](automation-aws-enable-security-hub.md)
# `AWSConfigRemediation-EnableSecurityHub`
**Description**
Le `AWSConfigRemediation-EnableSecurityHub` runbook active AWS Security Hub CSPM (Security Hub CSPM) l'automatisation Compte AWS et l' Région AWS endroit où vous exécutez l'automatisation. Pour plus d'informations sur Security Hub CSPM, consultez [Qu'est-ce que c'est ? AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) dans le *guide de AWS Security Hub l'utilisateur*.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableSecurityHub)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ EnableDefaultStandards
Type : Boolean
Valeur par défaut : true
Description : (Obligatoire) Si ce paramètre est défini sur`true`, les normes de sécurité par défaut définies par Security Hub CSPM sont activées.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `securityhub:DescribeHub`
+ `securityhub:EnableSecurityHub`
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
**Étapes de document**
+ `aws:executeAwsApi`- Active le Security Hub CSPM sur le compte courant et la région.
+ `aws:executeAwsApi`- Vérifie que le Security Hub CSPM est activé.
# AWS Shield
AWS Systems Manager L'automatisation fournit des runbooks prédéfinis pour AWS Shield. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSPremiumSupport-DDoSResiliencyAssessment`](automation-aws-ddosresiliencyassessment.md)
# `AWSPremiumSupport-DDoSResiliencyAssessment`
**Description**
Le `AWSPremiumSupport-DDoSResiliencyAssessment` runbook AWS Systems Manager d'automatisation vous aide à vérifier les vulnérabilités DDo S et à configurer les ressources conformément à la AWS Shield Advanced protection de votre Compte AWS. Il fournit un rapport sur les paramètres de configuration pour les ressources vulnérables aux attaques par déni de service (DDoS) distribué. Il est utilisé pour collecter, analyser et évaluer les ressources suivantes : Amazon Route 53, Amazon Load Balancers, Amazon CloudFront distributions AWS Global Accelerator et AWS Elastic IPs pour leurs paramètres de configuration conformément aux meilleures pratiques recommandées en matière de AWS Shield Advanced protection. Le rapport de configuration final est disponible dans un compartiment Amazon S3 de votre choix sous forme de fichier HTML.
**Fonctionnement**
Ce manuel contient une série de vérifications pour vérifier les différents types de ressources accessibles au public et pour vérifier si leurs protections sont configurées conformément aux recommandations du [livre blanc AWS DDo S Best Practices](https://docs.aws.amazon.com//pdfs/whitepapers/latest/aws-best-practices-ddos-resiliency/aws-best-practices-ddos-resiliency.pdf). Le runbook effectue les opérations suivantes :
+ Vérifie si un abonnement à AWS Shield Advanced est activé.
+ Si cette option est activée, elle détecte s'il existe des ressources protégées par Shield Advanced.
+ Il trouve toutes les ressources mondiales et régionales dans le Compte AWS et vérifie si elles sont protégées par le Shield.
+ Il nécessite les paramètres du type de ressource pour l'évaluation, le nom du compartiment Amazon S3 et l' Compte AWS ID du compartiment Amazon S3 (S3BucketOwner).
+ Il renvoie les résultats sous forme de rapport HTML stocké dans le compartiment Amazon S3 fourni.
Les paramètres d'`AssessmentType`entrée déterminent si les contrôles sur toutes les ressources seront effectués. Par défaut, le runbook vérifie tous les types de ressources. Si seul le `RegionalResources` paramètre `GlobalResources` ou le paramètre est sélectionné, le runbook effectue des vérifications uniquement sur les types de ressources sélectionnés.
**Important**
L'accès aux `AWSPremiumSupport-*` runbooks nécessite un abonnement Business \$1 Support, Enterprise Support ou Unified Operations. Pour plus d'informations, consultez la section [Comparer AWS Support les forfaits](https://aws.amazon.com/premiumsupport/plans/).
Ce runbook nécessite un `ACTIVE` [AWS Shield Advanced abonnement](https://docs.aws.amazon.com/waf/latest/developerguide/enable-ddos-prem.html).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-DDoSResiliencyAssessment)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ AssessmentType
Type : Chaîne
Description : (Facultatif) Détermine le type de ressources à évaluer pour l'évaluation de la résilience DDo S. Par défaut, le runbook évaluera les ressources mondiales et régionales. Pour les ressources régionales, le runbook décrit tous les équilibreurs de charge d'application (ALB) et de réseau (NLB) ainsi que l'ensemble du groupe Auto Scaling de votre /region. Compte AWS
Valeurs valides : `['Global Resources', 'Regional Resources', 'Global and Regional Resources']`
Par défaut : Ressources mondiales et régionales
+ S3 BucketName
Type : `AWS::S3::Bucket::Name`
Description : (Obligatoire) Nom du compartiment Amazon S3 dans lequel le rapport sera chargé.
Modèle autorisé : `^[0-9a-z][a-z0-9\-\.]{3,63}$`
+ S3 BucketOwnerAccount
Type : Chaîne
Description : (Facultatif) Le Compte AWS propriétaire du compartiment Amazon S3. Spécifiez ce paramètre si le compartiment Amazon S3 appartient à un autre compartiment Compte AWS, sinon vous pouvez laisser ce paramètre vide.
Modèle autorisé : `^$|^[0-9]{12,13}$`
+ S3 BucketOwnerRoleArn
Type : `AWS::IAM::Role::Arn`
Description : (Facultatif) L'ARN d'un rôle IAM autorisé à décrire le compartiment Amazon S3 et à Compte AWS bloquer la configuration de l'accès public si le compartiment se trouve dans un autre Compte AWS. Si ce paramètre n'est pas spécifié, le runbook utilise l'utilisateur `AutomationAssumeRole` ou l'utilisateur IAM qui démarre ce runbook (s'il n'`AutomationAssumeRole`est pas spécifié). Consultez la section relative aux autorisations requises dans la description du runbook.
Modèle autorisé : `^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):iam::[0-9]{12,13}:role/.*$`
+ S3 BucketPrefix
Type : Chaîne
Description : (Facultatif) Le préfixe du chemin dans Amazon S3 pour le stockage des résultats.
Modèle autorisé : `^[a-zA-Z0-9][-./a-zA-Z0-9]{0,255}$|^$`
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `autoscaling:DescribeAutoScalingGroups`
+ `cloudfront:ListDistributions`
+ `ec2:DescribeAddresses`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeInstances`
+ `elasticloadbalancing:DescribeLoadBalancers`
+ `elasticloadbalancing:DescribeTargetGroups`
+ `globalaccelerator:ListAccelerators`
+ `iam:GetRole`
+ `iam:ListAttachedRolePolicies`
+ `route53:ListHostedZones`
+ `route53:GetHealthCheck`
+ `shield:ListProtections`
+ `shield:GetSubscriptionState`
+ `shield:DescribeSubscription`
+ `shield:DescribeEmergencyContactSettings`
+ `shield:DescribeDRTAccess`
+ `waf:GetWebACL`
+ `waf:GetRateBasedRule`
+ `wafv2:GetWebACL`
+ `wafv2:GetWebACLForResource`
+ `waf-regional:GetWebACLForResource`
+ `waf-regional:GetWebACL`
+ `s3:ListBucket`
+ `s3:GetBucketAcl`
+ `s3:GetBucketLocation`
+ `s3:GetBucketPublicAccessBlock`
+ `s3:GetBucketPolicyStatus`
+ `s3:GetBucketEncryption`
+ `s3:GetAccountPublicAccessBlock`
+ `s3:PutObject`
**Exemple de politique IAM pour le rôle Automation Assume**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:ListBucket",
"s3:GetBucketAcl",
"s3:GetAccountPublicAccessBlock"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketPolicyStatus",
"s3:GetEncryptionConfiguration"
],
"Resource": "arn:aws:s3:::",
"Effect": "Allow"
},
{
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::/*",
"Effect": "Allow"
},
{
"Action": [
"autoscaling:DescribeAutoScalingGroups",
"cloudfront:ListDistributions",
"ec2:DescribeInstances",
"ec2:DescribeAddresses",
"ec2:DescribeNetworkAcls",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetGroups",
"globalaccelerator:ListAccelerators",
"iam:GetRole",
"iam:ListAttachedRolePolicies",
"route53:ListHostedZones",
"route53:GetHealthCheck",
"shield:ListProtections",
"shield:GetSubscriptionState",
"shield:DescribeSubscription",
"shield:DescribeEmergencyContactSettings",
"shield:DescribeDRTAccess",
"waf:GetWebACL",
"waf:GetRateBasedRule",
"wafv2:GetWebACL",
"wafv2:GetWebACLForResource",
"waf-regional:GetWebACLForResource",
"waf-regional:GetWebACL"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/automation-assume-role-name",
"Effect": "Allow"
}
]
}
```
------
**Instructions**
1. Accédez au [AWSPremiumSupport-DDoSResiliencyAssessment](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-DDoSResiliencyAssessment)dans la AWS Systems Manager console.
1. Sélectionnez **Exécuter l'automatisation**
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole(Facultatif) :**
Amazon Resource Name (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **AssessmentType(Facultatif) :**
Détermine le type de ressources à évaluer pour l'évaluation de la résilience DDo S. Par défaut, le runbook évalue les ressources mondiales et régionales.
+ **S3 BucketName (obligatoire) :**
Nom du compartiment Amazon S3 dans lequel enregistrer le rapport d'évaluation au format HTML.
+ **S3 BucketOwner (facultatif) :**
L' Compte AWS ID du compartiment Amazon S3 pour la vérification de propriété. L' Compte AWS ID est obligatoire si le rapport doit être publié dans un compartiment Amazon S3 multi-comptes et facultatif si le compartiment Amazon S3 se trouve dans le même compartiment Compte AWS que le lancement de l'automatisation.
+ **S3 BucketPrefix (facultatif) :**
N'importe quel préfixe pour le chemin dans Amazon S3 pour le stockage des résultats.
![\[Input parameters form for AWS Systems Manager Automation with fields for role, resources, and S3 bucket settings.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/premsupport-ddos-resiliency-assessment_input_parameters.png)
1. Sélectionnez **Exécuter**.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **CheckShieldAdvancedState:**
Vérifie si le runbook Compte AWS est abonné au compartiment Amazon S3 AWS Shield Advanced et si celui-ci a accès à celui-ci.
+ **S3 BucketSecurityChecks :**
Vérifie si le compartiment Amazon S3 spécifié dans le « S3 BucketName » autorise les autorisations d'accès anonymes ou publiques en lecture ou en écriture, si le chiffrement au repos est activé sur le compartiment et si l' Compte AWS identifiant fourni dans BucketOwner « S3 » est le propriétaire du compartiment Amazon S3.
+ **BranchOnShieldAdvancedStatus:**
Les succursales documentent les étapes en fonction du statut de l' AWS Shield Advanced abonnement, du statut de propriétaire du compartiment and/or Amazon S3.
+ **ShieldAdvancedConfigurationReview:**
Révise les configurations Shield Advanced pour s'assurer que le minimum de détails requis est présent. Par exemple : l'équipe IAM Access for AWS Shield Response Team (SRT), les détails de la liste de contacts et le statut d'engagement proactif de la SRT.
+ **ListShieldAdvancedProtections:**
Répertorie les ressources protégées par le Shield et crée un groupe de ressources protégées pour chaque service.
+ **BranchOnResourceTypeAndCount:**
Les branches documentent les étapes en fonction de la valeur du paramètre Resource Type et du nombre de ressources globales protégées par le Shield.
+ **ReviewGlobalResources:**
Examine les ressources mondiales protégées par Shield Advanced, telles que les zones hébergées Route 53, CloudFront les distributions et les accélérateurs mondiaux.
+ **BranchOnResourceType:**
Les branches documentent les étapes en fonction des types de ressources sélectionnés, qu'ils soient mondiaux, régionaux ou les deux.
+ **ReviewRegionalResources:**
Examine les ressources régionales protégées par Shield Advanced, telles que les équilibreurs de charge d'application, les équilibreurs de charge réseau, les équilibreurs de charge classiques, les instances Amazon Elastic Compute Cloud (Amazon EC2) (Elastic). IPs
+ **SendReportToS3 :**
Télécharge les détails du rapport d'évaluation DDo S dans le compartiment Amazon S3.
1. Une fois l'opération terminée, l'URI du fichier HTML du rapport d'évaluation est fournie dans le compartiment Amazon S3 :
**Lien vers la console S3 et URI Amazon S3 pour le rapport sur l'exécution réussie du runbook**
![\[Execution status showing successful completion with 9 steps executed and no failures.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/premsupport-ddos-resiliency-assessment_outputs.png)
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-DDoSResiliencyAssessment)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
AWS documentation de service
+ [AWS Shield Advanced](https://docs.aws.amazon.com//waf/latest/developerguide/ddos-advanced-summary.html)
# Amazon SNS
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon Simple Notification Service. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-EnableSNSTopicDeliveryStatusLogging`](aws-enable-sns-topic-delivery-status-logging.md)
+ [`AWSConfigRemediation-EncryptSNSTopic`](automation-aws-encrypt-sns-topic.md)
+ [`AWS-PublishSNSNotification`](automation-aws-publishsnsnotification.md)
# `AWS-EnableSNSTopicDeliveryStatusLogging`
**Description**
Le `AWS-EnableSNSTopicDeliveryStatusLogging` runbook configure la journalisation de l'état de livraison pour un `HTTP` point de terminaison Amazon Data Firehose, Lambda ou Amazon Simple `Platform application` Queue Service (Amazon SQS). Cela permet à Amazon SNS de consigner les alertes ayant échoué et un échantillon de pourcentage de notifications d'alerte réussies envoyées à Amazon. CloudWatch Si la journalisation de l'état de livraison est déjà configurée pour le sujet, le runbook remplace la configuration existante par les nouvelles valeurs que vous spécifiez pour les paramètres d'entrée.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableSNSTopicDeliveryStatusLogging)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ EndpointType
Type : chaîne
Valeurs valides :
+ HTTP
+ Firehose
+ Lambda
+ Application
+ SQS
Description : (Obligatoire) Type de point de terminaison de rubrique Amazon SNS pour lequel vous souhaitez enregistrer les messages de notification d'état de livraison.
+ TopicArn
Type : Chaîne
Description : (Obligatoire) L'ARN de la rubrique Amazon SNS pour laquelle vous souhaitez configurer la journalisation de l'état de livraison.
+ SuccessFeedbackRoleArn
Type : Chaîne
Description : (Obligatoire) L'ARN du rôle IAM utilisé par Amazon SNS pour envoyer les journaux des messages de notification réussis. CloudWatch
+ SuccessFeedbackSampleRate
Type : Chaîne
Valeurs valides : 0 à 100
Description : (Obligatoire) Pourcentage de messages réussis à échantillonner pour la rubrique Amazon SNS spécifiée.
+ FailureFeedbackRoleArn
Type : Chaîne
Description : (Obligatoire) L'ARN du rôle IAM utilisé par Amazon SNS pour envoyer les journaux des messages de notification d'échec. CloudWatch
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `iam:PassRole`
+ `sns:GetTopicAttributes`
+ `sns:SetTopicAttributes`
**Étapes de document**
+ `aws:executeAwsApi`- Applique la valeur du `SuccessFeedbackRoleArn` paramètre à la rubrique Amazon SNS.
+ `aws:executeAwsApi`- Applique la valeur du `SuccessFeedbackSampleRate` paramètre à la rubrique Amazon SNS.
+ `aws:executeAwsApi`- Applique la valeur du `FailureFeedbackRoleArn` paramètre à la rubrique Amazon SNS.
+ `aws:executeScript`- Confirme que l'enregistrement du statut de livraison est activé dans la rubrique Amazon SNS.
**Sorties**
VerifyDeliveryStatusLoggingEnabled. GetTopicAttributesResponse - Réponse des opérations de `GetTopicAttributes` l'API.
VerifyDeliveryStatusLoggingEnabled. VerifyDeliveryStatusLoggingEnabled - Message indiquant la réussite de la vérification de l'enregistrement de l'état de livraison.
# `AWSConfigRemediation-EncryptSNSTopic`
**Description**
Le `AWSConfigRemediation-EncryptSNSTopic` runbook active le chiffrement sur la rubrique Amazon Simple Notification Service (Amazon SNS) que vous spécifiez à l'aide d'une clé gérée par le client AWS Key Management Service (AWS KMS). Ce runbook ne doit être utilisé que comme référence pour garantir que vos sujets Amazon SNS sont chiffrés conformément aux meilleures pratiques de sécurité minimales recommandées. Nous recommandons de chiffrer plusieurs sujets avec différentes clés gérées par le client.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EncryptSNSTopic)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ KmsKeyArn
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) de la clé gérée par le AWS KMS client que vous souhaitez utiliser pour chiffrer la rubrique Amazon SNS.
+ TopicArn
Type : Chaîne
Description : (Obligatoire) L'ARN de la rubrique Amazon SNS que vous souhaitez chiffrer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `sns:GetTopicAttributes`
+ `sns:SetTopicAttributes`
**Étapes de document**
+ `aws:executeAwsApi`- Chiffre la rubrique Amazon SNS que vous spécifiez dans le `TopicArn` paramètre.
+ `aws:assertAwsResourceProperty`- Confirme que le chiffrement est activé dans la rubrique Amazon SNS.
# `AWS-PublishSNSNotification`
**Description**
Publiez une notification sur Amazon SNS.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-PublishSNSNotification)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Message
Type : Chaîne
Description : (Obligatoire) message à inclure dans la notification SNS.
+ TopicArn
Type : Chaîne
Description : (Obligatoire) ARN de la rubrique SNS pour publier la notification.
# Amazon SQS
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon Simple Queue Service (Amazon SQS). Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-EnableSQSEncryption`](aws-enablesqsencryption.md)
# `AWS-EnableSQSEncryption`
**Description**
Le `AWS-EnableSQSEncryption` runbook active le chiffrement au repos pour une file d'attente Amazon Simple Queue Service (Amazon SQS). Une file d'attente Amazon SQS peut être chiffrée avec des clés gérées Amazon SQS (SSE-SQS) ou AWS Key Management Service avec des clés gérées AWS KMS(SSE-KMS). La clé que vous attribuez à votre file d'attente doit avoir une politique clé qui inclut des autorisations pour tous les principaux autorisés à utiliser la file d'attente. Lorsque le chiffrement est activé, les demandes anonymes `SendMessage` et les `ReceiveMessage` demandes adressées à la file d'attente cryptée sont rejetées.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableSQSEncryption)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ QueueUrl
Type : String
Description : (Obligatoire) URL de la file d'attente Amazon SQS sur laquelle vous souhaitez activer le chiffrement.
+ KmsKeyId
Type : String
Description : (Facultatif) La AWS KMS clé à utiliser pour le chiffrement. Cette valeur peut être un identifiant unique global, un ARN associé à un alias ou à une clé, ou un nom d'alias préfixé par « alias/ ». Vous pouvez également utiliser la clé AWS gérée en spécifiant l'alias aws/sqs.
+ KmsDataKeyReusePeriodSeconds
Type : String
Valeurs valides : 60-86400
Valeur par défaut : 300
Description : (Facultatif) Durée, en secondes, pendant laquelle une file d'attente Amazon SQS peut réutiliser une clé de données pour chiffrer ou déchiffrer des messages avant de réappeler. AWS KMS
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:GetAutomationExecution`
+ `ssm:StartAutomationExecution`
+ `sqs:GetQueueAttributes`
+ `sqs:SetQueueAttributes`
**Étapes de document**
+ SelectKeyType (`aws:branch`) : Branches basées sur la clé spécifiée.
+ PutAttributeSseKms (`aws:executeAwsApi`) - Met à jour la file d'attente Amazon SQS afin d'utiliser la AWS KMS clé spécifiée pour le chiffrement.
+ PutAttributeSseSqs (`aws:executeAwsApi`) - Met à jour la file d'attente Amazon SQS afin d'utiliser la clé par défaut pour le chiffrement.
+ VerifySqsEncryptionKms (`aws:assertAwsResourceProperty`) - Vérifie que le chiffrement est activé dans la file d'attente Amazon SQS.
+ VerifySqsEncryptionDefault (`aws:assertAwsResourceProperty`) - Vérifie que le chiffrement est activé dans la file d'attente Amazon SQS.
# Step Functions
AWS Systems Manager Automation fournit des runbooks prédéfinis pour AWS Step Functions (Step Functions). Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-EnableStepFunctionsStateMachineLogging`](aws-enablestepfunctionsstatemachinelogging.md)
# `AWS-EnableStepFunctionsStateMachineLogging`
**Description**
Le `AWS-EnableStepFunctionsStateMachineLogging` runbook active ou met à jour la journalisation sur la machine AWS Step Functions d'état que vous spécifiez. Le niveau de journalisation minimum doit être défini sur `ALL``ERROR`, ou`FATAL`.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableStepFunctionsStateMachineLogging)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Niveau
Type : String
Valeurs valides : ALL \$1 ERROR \$1 FATAL
Description : (Obligatoire) URL de la file d'attente Amazon SQS sur laquelle vous souhaitez activer le chiffrement.
+ LogGroupArn
Type : String
Description : (Obligatoire) L'ARN du groupe de CloudWatch journaux Amazon Logs auquel vous souhaitez envoyer des journaux State Machine.
+ StateMachineArn
Type : String
Description : (Obligatoire) L'ARN de la machine à états à laquelle vous souhaitez activer la connexion.
+ IncludeExecutionData
Type : booléen
Par défaut : false
Description : (Facultatif) Détermine si les données d'exécution sont incluses dans les journaux.
+ TracingConfiguration
Type : booléen
Par défaut : false
Description : (Facultatif) Détermine si le AWS X-Ray suivi est activé.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:GetAutomationExecution`
+ `ssm:StartAutomationExecution`
+ `states:DescribeStateMachine`
+ `states:UpdateStateMachine`
**Étapes de document**
+ `EnableStepFunctionsStateMachineLogging (aws:executeAwsApi)`- Met à jour la machine à états spécifiée avec la configuration de journalisation spécifiée.
+ `VerifyStepFunctionsStateMachineLoggingEnabled (aws:assertAwsResourceProperty)`- Vérifie que la journalisation a été activée pour la machine à états spécifiée.
**Sorties**
+ EnableStepFunctionsStateMachineLogging.Response - Réponse de l'appel UpdateStateMachine d'API.
# Systems Manager
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Systems Manager. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-BulkDeleteAssociation`](aws-bulkdeleteassociation.md)
+ [`AWS-BulkEditOpsItems`](automation-aws-bulk-edit-opsitems.md)
+ [`AWS-BulkResolveOpsItems`](automation-aws-bulk-resolve-opsitems.md)
+ [`AWS-ConfigureMaintenanceWindows`](aws-configuremaintenancewindows.md)
+ [`AWS-CreateManagedLinuxInstance`](automation-aws-createmanagedlinuxinstance.md)
+ [`AWS-CreateManagedWindowsInstance`](automation-aws-createmanagedwindowsinstance.md)
+ [`AWSConfigRemediation-EnableCWLoggingForSessionManager`](automation-aws-enable-cw-log-sm.md)
+ [`AWS-ExportOpsDataToS3`](automation-aws-exportopsdatatos3.md)
+ [`AWS-ExportPatchReportToS3`](automation-aws-exportpatchreporttos3.md)
+ [`AWS-SetupInventory`](automation-aws-setupinventory.md)
+ [`AWS-SetupManagedInstance`](automation-aws-setupmanagedinstance.md)
+ [`AWS-SetupManagedRoleOnEC2Instance`](automation-aws-setupmanagedroleonec2instance.md)
+ [`AWSSupport-TroubleshootManagedInstance`](automation-awssupport-troubleshoot-managed-instance.md)
+ [`AWSSupport-TroubleshootPatchManagerLinux`](automation-troubleshoot-patch-manager-linux.md)
+ [`AWSSupport-TroubleshootSessionManager`](automation-awssupport-troubleshoot-session-manager.md)
# `AWS-BulkDeleteAssociation`
**Description**
Le `AWS-BulkDeleteAssociation` runbook vous permet de supprimer jusqu'à 50 associations de Systems Manager State Manager à la fois.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-BulkDeleteAssociation)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ AssociationIds
Type : StringList
Description : (Obligatoire) Liste séparée par des virgules IDs des associations que vous souhaitez supprimer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:DeleteAssociation`
**Étapes de document**
+ `aws:executeScript`- Supprime les associations que vous spécifiez dans le `AssociationIds` paramètre.
# `AWS-BulkEditOpsItems`
**Description**
Le `AWS-BulkEditOpsItems` runbook vous permet de modifier le statut, la gravité, la catégorie ou la priorité de AWS Systems Manager OpsItems. Cette automatisation peut en modifier un maximum de 50 OpsItems à la fois.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-BulkEditOpsItems)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Catégorie
Type : chaîne
Valeurs valides :
+ Disponibilité
+ Cost
+ Pas de modification
+ Performance
+ Récupération
+ Sécurité
Par défaut : aucune modification
Description : (Facultatif) La nouvelle catégorie que vous souhaitez spécifier pour les modifications OpsItems.
+ OpsItemIds
Type : StringList
Description : (Obligatoire) Liste séparée par des virgules des informations que OpsItems IDs vous souhaitez modifier (par exemple, OI-xxxxxxxxxxxx, OI-xxxxxxxxxxxx).
+ Priority
Type : chaîne
Valeurs valides :
+ Pas de modification
+ 1
+ 2
+ 3
+ 4
+ 5
Par défaut : aucune modification
Description : (Facultatif) L'importance de l'édition OpsItems par rapport OpsItems aux autres éléments du système.
+ Sévérité
Type : chaîne
Valeurs valides :
+ Pas de modification
+ 1
+ 2
+ 3
+ 4
Par défaut : aucune modification
Description : (Facultatif) La gravité de la modification OpsItems.
+ WaitTimeBetweenEditsInSecs
Type : Chaîne
Valeurs valides : 0,0-2,0
Valeur par défaut : 0,8
Description : (Facultatif) Le temps d'attente de l'automatisation entre deux appels à l'`UpdateOpsItems`opération.
+ Statut
Type : chaîne
Valeurs valides :
+ InProgress
+ Pas de modification
+ Ouvrir
+ Résolu
Par défaut : aucune modification
Description : (Facultatif) Le nouveau statut de la modification OpsItems.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:GetAutomationExecution`
+ `ssm:StartAutomationExecution`
+ `ssm:UpdateOpsItem`
**Étapes de document**
+ `aws:executeScript`- Modifie ce OpsItems que vous avez spécifié dans le `OpsItemIds` paramètre en fonction des valeurs que vous spécifiez pour les `Status` paramètres `Category``Priority`,`Severity`, et.
# `AWS-BulkResolveOpsItems`
**Description**
Le `AWS-BulkResolveOpsItems` runbook résout les problèmes AWS Systems Manager OpsItems qui correspondent au filtre que vous spécifiez. Vous pouvez également spécifier un OpsItemId à ajouter à la résolution à OpsItems l'aide du `OpsInsightsId` paramètre. Si vous spécifiez une valeur pour le `S3BucketName` paramètre, un résumé des résultats est envoyé au compartiment Amazon Simple Storage Service (Amazon S3). Pour recevoir une notification une fois que le résumé des résultats a été envoyé au compartiment Amazon S3, spécifiez une valeur pour le `SnsTopicArn` paramètre. Cette automatisation permettra d'en résoudre un maximum de 1 000 OpsItems à la fois.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-BulkResolveOpsItems)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Filtres
Type : Chaîne
Description : (Obligatoire) Les paires clé-valeur de filtres permettant de renvoyer le résultat que OpsItems vous souhaitez résoudre. Par exemple, `[{"Key": "Status", "Values": ["Open"], "Operator": "Equal"}]`. Pour en savoir plus sur les options disponibles pour filtrer OpsItems les réponses, consultez [OpsItemFilters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeOpsItems.html#systemsmanager-DescribeOpsItems-request-OpsItemFilters)la *référence des AWS Systems Manager API*.
+ OpsInsightId
Type : Chaîne
Description : (Facultatif) L'identifiant de ressource associé que vous souhaitez ajouter est résolu OpsItems.
+ S3 BucketName
Type : Chaîne
Description : (Facultatif) Nom du compartiment Amazon S3 auquel vous souhaitez envoyer le résumé des résultats.
+ SnsMessage
Type : Chaîne
Description : (Facultatif) La notification que vous souhaitez qu'Amazon Simple Notification Service (Amazon SNS) envoie une fois l'automatisation terminée.
+ SnsTopicArn
Type : Chaîne
Description : (Facultatif) L'ARN de la rubrique Amazon SNS que vous souhaitez notifier lorsque le résumé des résultats a été envoyé à Amazon S3.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `s3:GetBucketAcl`
+ `s3:PutObject`
+ `sns:Publish`
+ `ssm:DescribeOpsItems`
+ `ssm:GetAutomationExecution`
+ `ssm:StartAutomationExecution`
+ `ssm:UpdateOpsItem`
**Étapes de document**
+ `aws:executeScript`- Rassemble et résout les problèmes OpsItems en fonction des filtres que vous spécifiez. Si vous avez spécifié une valeur pour le `OpsInsightId` paramètre, la valeur est ajoutée en tant que ressource associée.
+ `aws:executeScript`- Si vous avez spécifié une valeur pour le `S3BucketName` paramètre, un résumé des résultats est ensuite envoyé au compartiment Amazon S3.
+ `aws:executeScript`- Si vous avez spécifié une valeur pour le `SnsTopicArn` paramètre, une notification est envoyée à la rubrique Amazon SNS une fois que le résumé des résultats a été envoyé à Amazon S3, y compris la valeur du `SnsMessage` paramètre si elle est spécifiée.
# `AWS-ConfigureMaintenanceWindows`
**Description**
Le `AWS-ConfigureMaintenanceWindows` runbook vous permet d'activer ou de désactiver plusieurs fenêtres de maintenance de Systems Manager.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-ConfigureMaintenanceWindows)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ MaintenanceWindows
Type : StringList
Description : (Obligatoire) Liste séparée par des virgules IDs des fenêtres de maintenance que vous souhaitez activer ou désactiver.
+ MaintenanceWindowsStatus
Type : Chaîne
Valeurs valides : « Vrai » \$1 « Faux »
Par défaut : « False »
Description : (Obligatoire) Détermine si les fenêtres de maintenance sont activées ou désactivées. Spécifiez « True » pour activer les fenêtres de maintenance et « False » pour les désactiver.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:GetMaintenanceWindow`
+ `ssm:UpdateMaintenanceWindow`
**Étapes de document**
+ `aws:executeScript`- Recueille l'état des fenêtres de maintenance que vous spécifiez dans le `MaintenanceWindows` paramètre et active ou désactive les fenêtres de maintenance.
# `AWS-CreateManagedLinuxInstance`
**Description**
Créez une instance EC2 pour Linux configurée pour Systems Manager.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CreateManagedLinuxInstance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux
**Paramètres**
+ AmiId
Type : Chaîne
Description : AMI ID (obligatoire) à utiliser pour lancer l'instance.
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ GroupName
Type : Chaîne
Par défaut : SSMSecurity GroupForLinuxInstances
Description : (Obligatoire) nom du groupe de sécurité à créer.
+ HttpTokens
Type : Chaîne
Valeurs valides : facultatif \$1 obligatoire
Par défaut : optionnel
Description : (Facultatif) IMDSv2 utilise des sessions basées sur des jetons. Définissez l'utilisation des jetons HTTP sur `optional` ou pour `required` déterminer si elle IMDSv2 est facultative ou obligatoire.
+ InstanceType
Type : Chaîne
Par défaut : t2.medium
Description : (Obligatoire) type d'instance à lancer. La valeur par défaut est t2.medium.
+ KeyPairName
Type : Chaîne
Description : (Obligatoire) paire de clés à utiliser lors de la création de l'instance.
+ RemoteAccessCidr
Type : Chaîne
Par défaut : 0.0.0.0/0
Description : (Obligatoire) Crée un groupe de sécurité avec un port pour SSH (plage de ports 22) ouvert à la valeur IPs spécifiée par le CIDR (la valeur par défaut est 0.0.0.0/0). Si le groupe de sécurité existe déjà, il ne sera pas modifié et les règles ne changeront pas.
+ RoleName
Type : Chaîne
Par défaut : SSMManaged InstanceProfileRole
Description : (Obligatoire) nom du rôle à créer.
+ StackName
Type : Chaîne
Par défaut : CreateManagedInstanceStack \$1\$1Automation:Execution\$1ID\$1\$1
Description : (Facultatif) Spécifiez le nom de la pile utilisée par ce runbook
+ SubnetId
Type : Chaîne
Par défaut : Default
Description : (Obligatoire) la nouvelle instance sera déployée dans ce sous-réseau ou dans le sous-réseau par défaut si aucune valeur n'est spécifiée.
+ VpcId
Type : Chaîne
Par défaut : Default
Description : (Obligatoire) La nouvelle instance sera déployée dans cet Amazon Virtual Private Cloud (Amazon VPC) ou dans l'Amazon VPC par défaut si elle n'est pas spécifiée.
# `AWS-CreateManagedWindowsInstance`
**Description**
Créez une instance EC2 pour une Windows Server instance configurée pour Systems Manager.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CreateManagedWindowsInstance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Windows
**Paramètres**
**Paramètres**
+ AmiId
Type : Chaîne
Valeur par défaut : `{{ssm:/aws/service/ami-windows-latest/Windows_Server-2016-English-Full-Base}}`
Description : AMI ID (obligatoire) à utiliser pour lancer l'instance.
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ GroupName
Type : Chaîne
Par défaut : SSMSecurity GroupForLinuxInstances
Description : (Obligatoire) nom du groupe de sécurité à créer.
+ HttpTokens
Type : Chaîne
Valeurs valides : facultatif \$1 obligatoire
Par défaut : optionnel
Description : (Facultatif) IMDSv2 utilise des sessions basées sur des jetons. Définissez l'utilisation des jetons HTTP sur `optional` ou pour `required` déterminer si elle IMDSv2 est facultative ou obligatoire.
+ InstanceType
Type : Chaîne
Par défaut : t2.medium
Description : (Obligatoire) type d'instance à lancer. La valeur par défaut est t2.medium.
+ KeyPairName
Type : Chaîne
Description : (Obligatoire) paire de clés à utiliser lors de la création de l'instance.
+ RemoteAccessCidr
Type : Chaîne
Par défaut : 0.0.0.0/0
Description : (Obligatoire) Crée un groupe de sécurité avec un port pour RDP (plage de ports 3389) ouvert à celui IPs spécifié par le CIDR (la valeur par défaut est 0.0.0.0/0). Si le groupe de sécurité existe déjà, il ne sera pas modifié et les règles ne changeront pas.
+ RoleName
Type : Chaîne
Par défaut : SSMManaged InstanceProfileRole
Description : (Obligatoire) nom du rôle à créer.
+ StackName
Type : Chaîne
Par défaut : CreateManagedInstanceStack \$1\$1Automation:Execution\$1ID\$1\$1
Description : (Facultatif) Spécifiez le nom de la pile utilisée par ce runbook
+ SubnetId
Type : Chaîne
Par défaut : Default
Description : (Obligatoire) la nouvelle instance sera déployée dans ce sous-réseau ou dans le sous-réseau par défaut si aucune valeur n'est spécifiée.
+ VpcId
Type : Chaîne
Par défaut : Default
Description : (Obligatoire) La nouvelle instance sera déployée dans cet Amazon Virtual Private Cloud (Amazon VPC) ou dans l'Amazon VPC par défaut si elle n'est pas spécifiée.
# `AWSConfigRemediation-EnableCWLoggingForSessionManager`
**Description**
Le `AWSConfigRemediation-EnableCWLoggingForSessionManager` runbook permet aux AWS Systems Manager sessions du gestionnaire de session (gestionnaire de session) de stocker les journaux de sortie dans un groupe de journaux Amazon CloudWatch (CloudWatch).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableCWLoggingForSessionManager)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ DestinationLogGroup
Type : Chaîne
Description : (Obligatoire) Nom du groupe de CloudWatch journaux.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ssm:GetDocument`
+ `ssm:UpdateDocument`
+ `ssm:CreateDocument`
+ `ssm:UpdateDefaultDocumentVersion`
+ `ssm:DescribeDocument`
**Étapes de document**
+ `aws:executeScript`- Accepte le groupe de CloudWatch journaux pour mettre à jour le document qui stocke les préférences des journaux de sortie de session du Gestionnaire de session, ou en crée un s'il n'existe pas.
# `AWS-ExportOpsDataToS3`
**Description**
Ce runbook extrait une liste de OpsData résumés dans AWS Systems Manager Explorer et les exporte vers un objet situé dans un compartiment Amazon Simple Storage Service (Amazon S3) spécifié.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-ExportOpsDataToS3)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ columnFields
Type : StringList
Description : (Obligatoire) Champs de colonne à écrire dans le fichier de sortie.
+ filtres
Type : Chaîne
Description : (Facultatif) Filtres pour la getOpsSummary demande.
+ resultAttribute
Type : Chaîne
Description : (Facultatif) L'attribut de résultat de la getOpsSummary demande.
+ s3 BucketName
Type : Chaîne
Description : (obligatoire) compartiment S3 où vous souhaitez télécharger le fichier de sortie.
+ snsSuccessMessage
Type : Chaîne
Description : (Facultatif) Message à envoyer lorsque le runbook sera terminé.
+ snsTopicArn
Type : Chaîne
Description : (Obligatoire) ARN de la rubrique Amazon Simple Notification Service (Amazon SNS) pour avertir lorsque le téléchargement est terminé.
+ syncName
Type : Chaîne
Description : (Facultatif) Nom de la synchronisation des données de la ressource.
**Étapes de document**
getOpsSummaryÉtape — Récupère jusqu'à 5 000 résumés d'opérations à exporter dans un fichier CSV dès maintenant.
**Sorties**
OpsData object — Si le runbook s'exécute correctement, vous trouverez l' OpsData objet exporté dans votre compartiment S3 cible.
# `AWS-ExportPatchReportToS3`
**Description**
Ce runbook extrait les listes des données récapitulatives et des détails des correctifs dans le gestionnaire de AWS Systems Manager correctifs et les exporte vers des fichiers .csv dans un compartiment Amazon Simple Storage Service (Amazon S3) spécifié.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-ExportPatchReportToS3)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ assumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui exécute ce document.
+ s3 BucketName
Type : Chaîne
Description : (Obligatoire) Le compartiment S3 dans lequel vous souhaitez télécharger le fichier de sortie.
+ snsTopicArn
Type : Chaîne
Description : (Facultatif) La rubrique Amazon Simple Notification Service (Amazon SNS) intitulée Amazon Resource Name (ARN) doit être notifiée lorsque le téléchargement est terminé.
+ snsSuccessMessage
Type : Chaîne
Description : (Facultatif) Texte du message à envoyer à la fin du runbook.
+ targets
Type : Chaîne
Description : (Obligatoire) L'ID de l'instance ou un caractère générique (\$1) pour indiquer s'il convient de signaler les données de correctif pour une instance spécifique ou pour toutes les instances.
**Étapes de document**
ExportReportStep — L'action de cette étape dépend de la valeur du `targets` paramètre. S'il `targets` est au format de`instanceids=*`, l'étape permet de récupérer jusqu'à 10 000 résumés de correctifs pour les instances de votre compte et d'exporter les données vers un fichier .csv.
S'il `targets` est au format`instanceids=`, l'étape récupère à la fois le résumé des correctifs et tous les correctifs pour l'instance spécifiée dans votre compte et les exporte vers un fichier .csv.
**Sorties**
PatchSummaryObjet /Patches : si le runbook s'exécute correctement, l'objet du rapport de correctif exporté est téléchargé dans votre compartiment S3 cible.
# `AWS-SetupInventory`
**Description**
Créez une association Systems Manager Inventory pour une ou plusieurs instances gérées. Le système recueille les métadonnées à partir de vos instances selon la planification dans l'association. Pour plus d’informations, consultez [AWS Systems Manager Inventaire](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-inventory.html).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-SetupInventory)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ Applications
Type : Chaîne
Par défaut : Enabled
Description : (Facultatif) collectez des métadonnées sur les applications installées.
+ AssociatedDocName
Type : Chaîne
Valeur par défaut : `AWS-GatherSoftwareInventory`
Description : (Facultatif) Nom du runbook utilisé pour collecter l'inventaire à partir de l'instance gérée.
+ AssociationName
Type : Chaîne
Description : (Facultatif) nom de l'association d'inventaire qui sera attribuée à l'instance.
+ AssocWaitTime
Type : Chaîne
Par défaut : PT5 M
Description : (Facultatif) durée pendant laquelle la collecte de l'inventaire doit s'interrompre l'association lorsque l'heure de début de l'association d'inventaire est atteinte. L'heure utilise le format ISO 8601.
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ `AwsComponents`
Type : Chaîne
Par défaut : Enabled
Description : (Facultatif) Collectez des métadonnées pour AWS des composants tels que amazon-ssm-agent.
+ CustomInventory
Type : Chaîne
Par défaut : Enabled
Description : (Facultatif) collectez des métadonnées d'inventaire personnalisées.
+ Fichiers
Type : Chaîne
Description : (Facultatif) collectez des métadonnées sur les fichiers de vos instances. Pour plus d'informations sur la collecte de ce type de données d'inventaire, voir [Utilisation de l'inventaire des fichiers et du registre Windows](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-inventory-file-and-registry.html). Nécessite désormais SSMAgent version 2.2.64.0 ou ultérieure. Exemple de Linux : `[{"Path":"/usr/bin", "Pattern":["aws*", "*ssm*"],"Recursive":false},{"Path":"/var/log", "Pattern":["amazon*.*"], "Recursive":true, "DirScanLimit":1000}] Windows example: [{"Path":"%PROGRAMFILES%", "Pattern":["*.exe"],"Recursive":true}]`
+ InstanceDetailedInformation
Type : Chaîne
Par défaut : Enabled
Description : (Facultatif) collectez des informations supplémentaires sur l'instance, y compris le modèle d'UC, la vitesse et le nombre de cœurs, pour n'en citer que quelques-unes.
+ InstanceIds
Type : Chaîne
Par défaut : \$1
Description : (obligatoire) Instances EC2 que vous souhaitez inventorier.
+ LambdaAssumeRole
Type : Chaîne
Description : (Facultatif) ARN du rôle qui autorise la fonction Lambda créée par Automation à effectuer des actions en votre nom. Si vous ne spécifiez pas cette valeur, un rôle transitoire est créé pour exécuter la fonction Lambda.
+ NetworkConfig
Type : Chaîne
Par défaut : Enabled
Description : (Facultatif) collectez des métadonnées sur les configurations réseau.
+ OutputS3 BucketName
Type : Chaîne
Description : (Facultatif) Nom d'un compartiment Amazon S3 dans lequel vous souhaitez écrire les données du journal d'inventaire.
+ OutputS3 KeyPrefix
Type : Chaîne
Description : (Facultatif) Un préfixe de clé Amazon S3 (sous-dossier) dans lequel vous souhaitez écrire les données du journal d'inventaire.
+ OutputS3Region
Type : Chaîne
Description : (Facultatif) Le nom de l' Région AWS endroit où se trouve l'Amazon S3.
+ Planning
Type : Chaîne
Par défaut : cron(0 \$1/30 \$1 \$1 \$1 ? \$1)
Description : (Facultatif) expression cron pour la planification de l'association d'inventaire. La valeur par défaut est toutes les 30 minutes.
+ Services
Type : Chaîne
Par défaut : Enabled
Description : (Facultatif, système d'exploitation Windows uniquement, nécessite SSMAgent la version 2.2.64.0 ou supérieure) Collectez des données pour les configurations de service.
+ WindowsRegistry
Type : Chaîne
Description : (Facultatif) collecte des métadonnées sur les clés de registre Microsoft Windows. Pour plus d'informations sur la collecte de ce type de données d'inventaire, voir [Utilisation de l'inventaire des fichiers et du registre Windows](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-inventory-file-and-registry.html). Nécessite SSM Agent version 2.2.64.0 ou ultérieure. Exemple : [\$1"Chemin » ›› HKEY\$1CURRENT\$1CONFIG \$1 System », "Recursive » :true\$1, \$1"Chemin » ›› HKEY\$1LOCAL\$1MACHINE \$1 SOFTWARE \$1 Amazon \$1 «," « : [» «]\$1] MachineImage ValueNames AMIName
+ WindowsRoles
Type : Chaîne
Par défaut : Enabled
Description : (Facultatif) collecte des informations sur les rôles Windows sur l'instance. S'applique aux systèmes d'exploitation Windows uniquement. Nécessite désormais SSMAgent version 2.2.64.0 ou ultérieure.
+ WindowsUpdates
Type : Chaîne
Par défaut : Enabled
Description : (Facultatif) collecte des données sur toutes les mises à jour Windows de l'instance.
# `AWS-SetupManagedInstance`
**Description**
Configurez une instance dotée d'un rôle Gestion des identités et des accès AWS (IAM) pour accéder à Systems Manager.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-SetupManagedInstance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : Chaîne
Description : (obligatoire) ID de l'instance EC2 à configurer.
+ LambdaAssumeRole
Type : Chaîne
Description : (Facultatif) ARN du rôle qui autorise la fonction Lambda créée par Automation à effectuer des actions en votre nom. Si vous ne spécifiez pas cette valeur, un rôle transitoire est créé pour exécuter la fonction Lambda.
+ RoleName
Type : Chaîne
Par défaut : SSMRole ForManagedInstance
Description : (facultatif) nom du rôle IAM de l'instance EC2. Si ce rôle n'existe pas, il est créé. Lorsque vous spécifiez cette valeur, vérifiez que le rôle contient la politique SSMManaged InstanceCore gérée par **Amazon**.
# `AWS-SetupManagedRoleOnEC2Instance`
**Description**
Configurez une instance avec le rôle IAM SSMRole ForManagedInstance géré pour l'accès à Systems Manager.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-SetupManagedRoleOnEC2Instance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : Chaîne
Description : (obligatoire) ID de l'instance EC2 à configurer.
+ LambdaAssumeRole
Type : Chaîne
Description : (Facultatif) ARN du rôle qui autorise la fonction Lambda créée par Automation à effectuer des actions en votre nom. Si vous ne spécifiez pas cette valeur, un rôle transitoire est créé pour exécuter la fonction Lambda.
+ RoleName
Type : Chaîne
Par défaut : SSMRole ForManagedInstance
Description : (facultatif) nom du rôle IAM de l'instance EC2. Si ce rôle n'existe pas, il est créé. Lorsque vous spécifiez cette valeur, vérifiez que le rôle contient la politique SSMManaged InstanceCore gérée par **Amazon**.
# `AWSSupport-TroubleshootManagedInstance`
**Description**
Le `AWSSupport-TroubleshootManagedInstance` runbook vous aide à déterminer pourquoi une instance Amazon Elastic Compute Cloud (Amazon EC2) n'est pas signalée comme étant gérée par AWS Systems Manager. Ce manuel passe en revue la configuration VPC de l'instance, y compris les règles du groupe de sécurité, les points de terminaison VPC, les règles de la liste de contrôle d'accès réseau (ACL) et les tables de routage. Cela confirme également qu'un profil d'instance Gestion des identités et des accès AWS (IAM) contenant les autorisations requises est attaché à l'instance.
**Important**
Ce manuel d'automatisation n'évalue pas les IPv6 règles.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootManagedInstance)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
Linux, macOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : String
Description : (Obligatoire) L'ID de l' EC2 instance Amazon qui n'est pas signalée comme étant gérée par Systems Manager.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:DescribeAutomationExecutions`
+ `ssm:DescribeAutomationStepExecutions`
+ `ssm:DescribeInstanceInformation`
+ `ssm:DescribeInstanceProperties`
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ssm:GetDocument`
+ `ssm:ListDocuments`
+ `ssm:StartAutomationExecution`
+ `iam:ListRoles`
+ `iam:GetInstanceProfile`
+ `iam:ListAttachedRolePolicies`
+ `ec2:DescribeInstances`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeVpcEndpoints`
**Étapes de document**
+ `aws:executeScript`- Rassemble le numéro `PingStatus` de l'instance.
+ `aws:branch`- Branches basées sur le fait que l'instance fournit déjà des rapports tels que gérés par Systems Manager.
+ `aws:executeAwsApi`- Recueille des informations sur l'instance, y compris la configuration du VPC.
+ `aws:executeScript`- Le cas échéant, collecte des informations supplémentaires relatives aux points de terminaison VPC qui ont été déployés pour être utilisés avec Systems Manager, et confirme que les groupes de sécurité attachés au point de terminaison VPC autorisent le trafic entrant sur le port TCP 443 depuis l'instance.
+ `aws:executeScript`- Vérifie si la table de routage autorise le trafic vers le point de terminaison du VPC ou vers les points de terminaison publics de Systems Manager.
+ `aws:executeScript`- Vérifie si les règles ACL du réseau autorisent le trafic vers le point de terminaison du VPC ou vers les points de terminaison publics de Systems Manager.
+ `aws:executeScript`- Vérifie si le trafic sortant vers le point de terminaison du VPC ou les points de terminaison publics de Systems Manager est autorisé par le groupe de sécurité associé à l'instance.
+ `aws:executeScript`- Vérifie si le profil d'instance attaché à l'instance inclut une politique gérée fournissant les autorisations requises.
+ `aws:branch`- Branches basées sur le système d'exploitation de l'instance.
+ `aws:executeScript`- Fournit une référence au script `ssmagent-toolkit-linux` shell.
+ `aws:executeScript`- Fournit une référence au `ssmagent-toolkit-windows` PowerShell script.
+ `aws:executeScript`- Génère le résultat final pour l'automatisation.
+ `aws:executeScript`- Si `PingStatus` l'instance l'est`Online`, indique que l'instance est déjà gérée par Systems Manager.
# `AWSSupport-TroubleshootPatchManagerLinux`
**Description**
Le `AWSSupport-TroubleshootPatchManagerLinux` runbook permet de résoudre les problèmes courants susceptibles de provoquer l'échec d'un correctif sur les nœuds gérés basés sur Linux à l'aide de Patch Manager, un outil de. AWS Systems Manager L’objectif principal de ce dossier d’exploitation est d’identifier la cause première de l’échec de la commande de correctif et de suggérer un plan de correction.
**Fonctionnement**
Le `AWSSupport-TroubleshootPatchManagerLinux` runbook prend en compte les deux ID/Command identifiants d'instance que vous avez fournis pour le dépannage. Si aucun ID de commande n'est fourni, il sélectionne la dernière commande de correctif ayant échoué au cours des 30 derniers jours sur l'instance fournie. Après avoir vérifié l'état de la commande, le respect des conditions requises et la distribution du système d'exploitation, le runbook télécharge et exécute un package d'analyse de journaux. Le résultat inclut la cause première du problème ainsi que les mesures nécessaires pour le résoudre.
**Types de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
+ Amazon Linux 2 et AL2023
+ Red Hat Enterprise Linux 8.X et 9.X
+ Centos 8.X et 9.X
+ SUSE 15.X
**Paramètres**
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:SendCommand`
+ `ssm:DescribeDocument`
+ `ssm:GetCommandInvocation`
+ `ssm:ListCommands`
+ `ssm:DescribeInstanceInformation`
+ `ssm:ListCommandInvocations`
+ `ssm:GetDocument`
+ `ssm:DescribeAutomationExecutions`
+ `ssm:GetAutomationExecution`
**Instructions**
Pour configurer l'automatisation, procédez comme suit :
1. Accédez au [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootPatchManagerLinux/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootPatchManagerLinux/description)dans la AWS Systems Manager console.
1. Sélectionnez Execute automation (Exécuter l'automatisation).
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **InstanceId (Obligatoire) :**
Utilisez le sélecteur d'instance interactif pour choisir l'ID du nœud géré par SSM basé sur Linux (Amazon Elastic Compute Cloud (Amazon EC2) ou serveur Hybrid Activated) contre lequel la commande de correctif a échoué, ou entrez manuellement l'ID de l'instance gérée par SSM.
+ **AutomationAssumeRole (Facultatif) :**
Entrez l'ARN du rôle IAM qui permet à Automation d'effectuer des actions en votre nom. Si aucun rôle n'est spécifié, Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **RunCommandId (Facultatif) :**
Entrez l'ID de commande ayant échoué du `AWS-RunPatchBaseline` document. Si vous ne fournissez pas d'ID de commande, le runbook recherchera la dernière commande de correctif ayant échoué au cours des 30 derniers jours sur l'instance sélectionnée.
![\[Input parameters form for EC2 Instance Connect troubleshooting with instance ID and optional fields.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-patch-manager-linux_input_parameters.png)
1. Sélectionnez Exécuter.
1. L'automatisation démarre.
1. Le document exécute les étapes suivantes :
+ **CheckConcurrency:**
Garantit qu'il n'y a qu'une seule exécution de ce runbook ciblant la même instance. Si le runbook trouve une autre exécution en cours ciblant la même instance, il renvoie une erreur et se termine.
+ **ValidateCommandIdentifiant :**
Valide si l'ID de commande fourni, en tant que paramètre d'entrée, a été exécuté pour le document `AWS-RunPatchBaseline` SSM. Si aucun ID de commande n'est fourni, le runbook prendra en compte le dernier échec d'exécution survenu `AWS-RunPatchBaseline` au cours des 30 derniers jours sur l'instance sélectionnée.
+ **BranchOnCommandStatus:**
Confirme que l'état de la commande fournie est un échec. Dans le cas contraire, le runbook met fin à l'exécution et génère un rapport indiquant que la commande fournie a été exécutée avec succès.
+ **VerifyPrerequistes:**
Confirme que les prérequis mentionnés ci-dessus sont remplis.
+ **GetPlatformDetails:**
Récupère la distribution et la version du système d'exploitation (OS).
+ **GetDownloadAdresse URL :**
Récupère l'URL de téléchargement du package PatchManager Log Analyzer.
+ **EvaluatePatchManagerLogs:**
Télécharge et exécute le package python PatchManager Log Analyzer sur l'instance pour évaluer le fichier journal.
+ **GenerateReport:**
Génère un rapport final sur l'exécution du runbook qui inclut le problème identifié et la solution suggérée.
1. Une fois terminé, consultez la section Sorties pour obtenir les résultats détaillés de l'exécution :
![\[Troubleshooting results showing an error downloading payload and suggested solutions.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-patch-manager-linux_outputs.png)
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootPatchManagerLinux/description)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
# `AWSSupport-TroubleshootSessionManager`
**Description**
Le `AWSSupport-TroubleshootSessionManager` runbook vous aide à résoudre les problèmes courants qui vous empêchent de vous connecter à des instances Amazon Elastic Compute Cloud (Amazon EC2) gérées à l'aide du gestionnaire de session. Le gestionnaire de session est un outil de AWS Systems Manager. Ce runbook vérifie les points suivants :
+ Vérifie si l'instance est en cours d'exécution et génère des rapports tels que gérés par Systems Manager.
+ Exécute le `AWSSupport-TroubleshootManagedInstance` runbook si l'instance n'est pas signalée comme étant gérée par Systems Manager.
+ Vérifie la version de l'agent SSM installée sur l'instance.
+ Vérifie si un profil d'instance contenant une politique recommandée Gestion des identités et des accès AWS (IAM) pour le gestionnaire de session est attaché à l'instance Amazon EC2.
+ Collecte les journaux de l'agent SSM à partir de l'instance.
+ Analyse les préférences de votre gestionnaire de session.
+ Exécute le `AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2` runbook pour analyser la connectivité de l'instance aux points de terminaison de Session Manager AWS Key Management Service (AWS KMS), Amazon Simple Storage Service (Amazon S3) et CloudWatch Amazon Logs (Logs). CloudWatch
**Considérations**
+ Les nœuds gérés hybrides ne sont pas pris en charge.
+ Ce runbook vérifie uniquement si une politique IAM gérée recommandée est attachée au profil d'instance. Il n'analyse pas l'IAM ni AWS KMS les autorisations contenues dans votre profil d'instance.
**Important**
Le `AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2` runbook utilise [VPC Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) pour analyser la connectivité réseau entre une source et un point de terminaison de service. Vous êtes facturé par analyse effectuée entre une source et une destination. Pour plus de détails, consultez la section [Tarification d'Amazon VPC.](https://aws.amazon.com/vpc/pricing/)
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootSessionManager)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ InstanceId
Type : Chaîne
Description : (Obligatoire) L'ID de l'instance Amazon EC2 à laquelle vous ne pouvez pas vous connecter à l'aide du gestionnaire de session.
+ SessionPreferenceDocument
Type : Chaîne
Par défaut : SSM- SessionManagerRunShell
Description : (Facultatif) Le nom de votre document de préférences de session. Si vous ne spécifiez pas de document de préférences de session personnalisé lors du démarrage des sessions, utilisez la valeur par défaut.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:CreateNetworkInsightsPath`
+ `ec2:DeleteNetworkInsightsAnalysis`
+ `ec2:DeleteNetworkInsightsPath`
+ `ec2:StartNetworkInsightsAnalysis`
+ `tiros:CreateQuery`
+ `ec2:DescribeAvailabilityZones`
+ `ec2:DescribeCustomerGateways`
+ `ec2:DescribeDhcpOptions`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceStatus`
+ `ec2:DescribeInternetGateways`
+ `ec2:DescribeManagedPrefixLists`
+ `ec2:DescribeNatGateways`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeNetworkInsightsAnalyses`
+ `ec2:DescribeNetworkInsightsPaths`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribePrefixLists`
+ `ec2:DescribeRegions`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeTransitGatewayAttachments`
+ `ec2:DescribeTransitGatewayConnects`
+ `ec2:DescribeTransitGatewayPeeringAttachments`
+ `ec2:DescribeTransitGatewayRouteTables`
+ `ec2:DescribeTransitGateways`
+ `ec2:DescribeTransitGatewayVpcAttachments`
+ `ec2:DescribeVpcAttribute`
+ `ec2:DescribeVpcEndpoints`
+ `ec2:DescribeVpcEndpointServiceConfigurations`
+ `ec2:DescribeVpcPeeringConnections`
+ `ec2:DescribeVpcs`
+ `ec2:DescribeVpnConnections`
+ `ec2:DescribeVpnGateways`
+ `ec2:GetManagedPrefixListEntries`
+ `ec2:GetTransitGatewayRouteTablePropagations`
+ `ec2:SearchTransitGatewayRoutes`
+ `elasticloadbalancing:DescribeListeners`
+ `elasticloadbalancing:DescribeLoadBalancerAttributes`
+ `elasticloadbalancing:DescribeLoadBalancers`
+ `elasticloadbalancing:DescribeRules`
+ `elasticloadbalancing:DescribeTags`
+ `elasticloadbalancing:DescribeTargetGroups`
+ `elasticloadbalancing:DescribeTargetHealth`
+ `iam:GetInstanceProfile`
+ `iam:ListAttachedRolePolicies`
+ `iam:ListRoles`
+ `iam:PassRole`
+ `ssm:DescribeAutomationStepExecutions`
+ `ssm:DescribeInstanceInformation`
+ `ssm:GetAutomationExecution`
+ `ssm:GetDocument`
+ `ssm:ListCommands`
+ `ssm:ListCommandInvocations`
+ `ssm:SendCommand`
+ `ssm:StartAutomationExecution`
+ `tiros:GetQueryAnswer`
+ `tiros:GetQueryExplanation`
**Étapes de document**
1. `aws:waitForAwsResourceProperty`: attend jusqu'à 6 minutes que votre instance cible passe les vérifications de statut.
1. `aws:executeScript`: analyse le document des préférences de session.
1. `aws:executeAwsApi`: obtient l'ARN du profil d'instance attaché à votre instance.
1. `aws:executeAwsApi`: Vérifie si votre instance est signalée comme étant gérée par Systems Manager.
1. `aws:branch`: Branches selon que votre instance produit ou non des rapports tels que gérés par Systems Manager.
1. `aws:executeScript`: Vérifie si l'agent SSM installé sur votre instance prend en charge le gestionnaire de session.
1. `aws:branch`: Branches basées sur la plate-forme de votre instance pour collecter `ssm-cli` les logs.
1. `aws:runCommand`: collecte la sortie des journaux à `ssm-cli` partir d'une macOS instance Linux or.
1. `aws:runCommand`: collecte les résultats des journaux à `ssm-cli` partir d'une Windows instance.
1. `aws:executeScript`: analyse les `ssm-cli` journaux.
1. `aws:executeScript`: Vérifie si une politique IAM recommandée est attachée au profil d'instance.
1. `aws:branch`: Détermine s'il faut évaluer la connectivité des `ssmmessages` terminaux sur la base `ssm-cli` des journaux.
1. `aws:executeAutomation`: Évalue si l'instance peut se connecter à un `ssmmessages` point de terminaison.
1. `aws:branch`: détermine s'il faut évaluer la connectivité des terminaux Amazon S3 en fonction `ssm-cli` des journaux et de vos préférences de session.
1. `aws:executeAutomation`: Évalue si l'instance peut se connecter à un point de terminaison Amazon S3.
1. `aws:branch`: détermine s'il faut évaluer la connectivité des AWS KMS terminaux en fonction `ssm-cli` des journaux et de vos préférences de session.
1. `aws:executeAutomation`: Évalue si l'instance peut se connecter à un AWS KMS point de terminaison.
1. `aws:branch`: détermine s'il faut évaluer la connectivité CloudWatch des terminaux Logs en fonction `ssm-cli` des journaux et de vos préférences de session.
1. `aws:executeAutomation`: Évalue si l'instance peut se connecter à un point de terminaison CloudWatch Logs.
1. `aws:executeAutomation`: exécute le `AWSSupport-TroubleshootManagedInstance` runbook.
1. `aws:executeScript`: Compile le résultat des étapes précédentes et produit un rapport.
**Sorties**
+ `generateReport.EvalReport`- Les résultats des vérifications effectuées par le runbook en texte brut.
# Tiers
AWS Systems Manager Automation fournit des runbooks prédéfinis pour les produits et services tiers. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-CreateJiraIssue`](automation-aws-createjiraissue.md)
+ [`AWS-CreateServiceNowIncident`](automation-aws-createservicenowincident.md)
+ [`AWS-RunPacker`](automation-aws-runpacker.md)
# `AWS-CreateJiraIssue`
**Description**
Création d'un problème de Jira.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CreateJiraIssue)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AssigneeName
Type : Chaîne
Description : (Facultatif) nom d'utilisateur de la personne à laquelle le problème doit être attribué.
+ DueDate
Type : Chaîne
Description : (Facultatif) Date d'échéance du problème au yyyy-mm-dd format.
+ IssueDescription
Type : Chaîne
Description : (Obligatoire) description détaillée du problème.
+ IssueSummary
Type : Chaîne
Description : (Obligatoire) bref résumé du problème.
+ IssueTypeName
Type : Chaîne
Description : (Obligatoire) nom du type de problème que vous souhaitez créer (par exemple, Task, sous-tâche, Bug, etc.).
+ JiraURL
Type : Chaîne
Description : (Obligatoire) URL de l'instance Jira.
+ JiraUsername
Type : Chaîne
Description : (Obligatoire) nom de l'utilisateur avec lequel le problème sera créé.
+ PriorityName
Type : Chaîne
Description : (Facultatif) nom de la priorité du problème.
+ ProjectKey
Type : Chaîne
Description : (Obligatoire) clé du projet dans lequel le problème doit être créé.
+ SSMParameterNom
Type : Chaîne
Description : (Obligatoire) nom d'un paramètre SSM chiffré contenant la clé d'API ou un mot de passe pour l'utilisateur Jira.
**Étapes de document**
`aws:createStack`- Créez une CloudFormation pile pour créer le rôle et la fonction Lambda IAM.
`aws:invokeLambdaFunction`- Invoquez la fonction Lambda pour créer le problème Jira
`aws:deleteStack`- Supprimez la CloudFormation pile créée.
**Sorties**
IssueId: ID du problème Jira nouvellement créé
# `AWS-CreateServiceNowIncident`
**Description**
Créez un incident dans le tableau des ServiceNow incidents.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CreateServiceNowIncident)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Catégorie
Type : Chaîne
Description : (Facultatif) Catégorie de l'incident.
Valeurs valides : Aucune \$1 Inquiry/Help \$1 Logiciel \$1 Matériel \$1 Réseau \$1 Base de données
Valeur par défaut : Aucun
+ Description
Type : Chaîne
Description : (Obligatoire) Explication détaillée de l'incident.
+ Impact
Type : Chaîne
Description : (Facultatif) Effet d'un incident sur l'activité.
Valeurs valides : Haute \$1 Moyenne \$1 Faible
Valeur par défaut : Faible
+ ServiceNowInstanceUsername
Type : Chaîne
Description : (Obligatoire) Nom de l'utilisateur avec lequel l'incident sera créé.
+ ServiceNowInstancePassword
Type : Chaîne
Description : (Obligatoire) Nom d'un paramètre SSM crypté contenant le mot de passe de l' ServiceNow utilisateur.
+ ServiceNowInstanceURL
Type : Chaîne
Description : (Obligatoire) URL de l' ServiceNow instance
+ ShortDescription
Type : Chaîne
Description : (Obligatoire) Brève description de l'incident.
+ Sous-catégorie
Type : Chaîne
Description : (Facultatif) Sous-catégorie de l'incident.
Valeurs valides : Aucune \$1 Antivirus \$1 E-mail \$1 Application interne \$1 Système d'exploitation \$1 Processeur \$1 Disque \$1 Clavier \$1 Matériel \$1 Mémoire \$1 Moniteur \$1 Souris \$1 DHCP \$1 DNS \$1 Adresse IP \$1 VPN \$1 Sans fil \$1 DB2 \$1 MS SQL Server \$1 Oracle
Valeur par défaut : Aucun
**Étapes de document**
Push\$1incident — Transfère les informations relatives à l'incident vers. ServiceNow
**Sorties**
Push\$1incident.incidentId — ID d'incident créé.
# `AWS-RunPacker`
**Description**
Ce runbook utilise l'outil HashiCorp [Packer](https://www.packer.io/) pour valider, corriger ou créer des modèles de packer utilisés pour créer des images de machine. Ce runbook utilise Packer v1.7.2.
**Note**
Si vous spécifiez une valeur `vpc_id`, vous devez également spécifier la valeur `subnet_id` d'un sous-réseau public. À moins que vous ne modifiiez l'attribut d'adressage IPv4 public de votre sous-réseau, vous devez également `associate_public_ip_address` définir sur true.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-RunPacker)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Force
Type : Boolean
Description : Option Packer pour forcer un générateur à s'exécuter lorsque des artefacts d'une version précédente empêchent l'exécution d'une build.
+ Mode
Type : Chaîne
Description : Mode, ou commande, d'utilisation de Packer lors de la validation par rapport au modèle. Les options incluent `Build``Validate`, et`Fix`.
+ TemplateFileName
Type : Chaîne
Description : Nom, ou clé, du fichier modèle dans le compartiment S3.
+ Modèles 3 BucketName
Type : Chaîne
Description : Nom du compartiment S3 contenant le modèle de packer.
**Étapes de document**
RunPackerProcessTemplate — Exécute le mode sélectionné par rapport au modèle à l'aide de l'outil Packer.
**Sorties**
RunPackerProcessTemplate.output — La sortie standard de l'outil Packer.
RunPackerProcessTemplate.fixed\$1template\$1key — Le nom du modèle stocké dans un compartiment S3 à utiliser uniquement lors de l'exécution en mode « Fix ».
RunPackerProcessTemplate.s3\$1bucket : nom du compartiment S3 qui contient le modèle fixe à utiliser uniquement lors de l'exécution en mode « Fix ».
# Amazon VPC
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon Virtual Private Cloud. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-CloseSecurityGroup`](close-security-group.md)
+ [`AWSSupport-ConfigureDNSQueryLogging`](automation-aws-configure-dns-query-logging.md)
+ [`AWSSupport-ConfigureTrafficMirroring`](automation-aws-configuretrafficmirroring.md)
+ [`AWSSupport-ConnectivityTroubleshooter`](automation-awssupport-connectivitytroubleshooter.md)
+ [`AWSSupport-TroubleshootVPN`](automation-aws-troubleshoot-vpn.md)
+ [`AWSConfigRemediation-DeleteEgressOnlyInternetGateway`](automation-aws-delete-egress-igw.md)
+ [`AWSConfigRemediation-DeleteUnusedENI`](automation-aws-delete-eni.md)
+ [`AWSConfigRemediation-DeleteUnusedSecurityGroup`](automation-aws-delete-ec2-security-group.md)
+ [`AWSConfigRemediation-DeleteUnusedVPCNetworkACL`](automation-aws-delete-vpc-nacl.md)
+ [`AWSConfigRemediation-DeleteVPCFlowLog`](automation-aws-delete-vpc-flow-log.md)
+ [`AWSConfigRemediation-DetachAndDeleteInternetGateway`](automation-aws-detach-delete-igw.md)
+ [`AWSConfigRemediation-DetachAndDeleteVirtualPrivateGateway`](automation-aws-detach-delete-vpg.md)
+ [`AWS-DisableIncomingSSHOnPort22`](disable-incoming-ssh.md)
+ [`AWS-DisablePublicAccessForSecurityGroup`](automation-aws-disablepublicaccessforsecuritygroup.md)
+ [`AWSConfigRemediation-DisableSubnetAutoAssignPublicIP`](automation-aws-disable-subnet-auto-public-ip.md)
+ [`AWSSupport-EnableVPCFlowLogs`](automation-aws-enable-vpc-flowlogs.md)
+ [`AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch`](automation-aws-enable-flow-logs-cw.md)
+ [`AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket`](automation-aws-enable-flow-logs-s3.md)
+ [`AWS-ReleaseElasticIP`](automation-aws-releaseelasticip.md)
+ [`AWS-RemoveNetworkACLUnrestrictedSSHRDP`](aws-remove-nacl-unrestricted-ssh-rdp.md)
+ [`AWSConfigRemediation-RemoveUnrestrictedSourceIngressRules`](automation-aws-remove-unrestricted-source-ingress.md)
+ [`AWSConfigRemediation-RemoveVPCDefaultSecurityGroupRules`](automation-aws-remove-default-secg-rules.md)
+ [`AWSSupport-SetupIPMonitoringFromVPC`](automation-awssupport-setupipmonitoringfromvpc.md)
+ [`AWSSupport-TerminateIPMonitoringFromVPC`](automation-awssupport-terminateipmonitoringfromvpc.md)
# `AWS-CloseSecurityGroup`
**Description**
Ce runbook supprime toutes les règles d'entrée et de sortie du groupe de sécurité que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CloseSecurityGroup)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ SecurityGroupId
Type : Chaîne
Description : (Obligatoire) L'ID du groupe de sécurité que vous souhaitez fermer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:DescribeSecurityGroups`
+ `ec2:RevokeSecurityGroupEgress`
+ `ec2:RevokeSecurityGroupIngress`
**Étapes de document**
+ `aws:executeScript`- Supprime toutes les règles d'entrée et de sortie du groupe de sécurité que vous spécifiez dans le `SecurityGroupId` paramètre.
# `AWSSupport-ConfigureDNSQueryLogging`
**Description**
Le `AWSSupport-ConfigureDNSQueryLogging` runbook configure la journalisation des requêtes DNS provenant de votre cloud privé virtuel (VPC) ou des zones hébergées sur Amazon Route 53. Vous pouvez choisir de publier les journaux de requêtes sur Amazon CloudWatch Logs, Amazon Simple Storage Service (Amazon S3) ou Amazon Data Firehose. Pour plus d'informations sur la journalisation des requêtes et les journaux des requêtes du résolveur, consultez les sections Journalisation des [requêtes DNS publiques et Journalisation](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html) des [requêtes du résolveur](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ConfigureDNSQueryLogging)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ LogDestinationArn
Type : Chaîne
Description : (Facultatif) L'ARN du groupe de CloudWatch journaux, du compartiment Amazon S3 ou du flux Firehose auquel vous souhaitez envoyer les journaux de requêtes. Notez que la journalisation des requêtes DNS publiques Route 53 ne prend en charge que les groupes de CloudWatch journaux. Si vous ne spécifiez aucune valeur pour ce paramètre, l'automatisation crée un groupe de CloudWatch journaux au format ` AWSSupport-ConfigureDNSQueryLogging-{automation: EXECUTION_ID } ` et une politique de ressources IAM pour publier les journaux de requêtes. Le groupe CloudWatch Logs créé par l'automatisation a une période de conservation de 14 jours.
+ QueryLogType
Type : Chaîne
Description : (Facultatif) Les types de requêtes que vous souhaitez enregistrer.
Valeurs valides : Public \$1 Résolveur/Privé
Par défaut : Public
+ ResourceId
Type : Chaîne
Description : (Obligatoire) L'ID de la ressource dont vous souhaitez enregistrer les requêtes. Si vous spécifiez `Public` le `QueryLogType` paramètre, la ressource doit être l'ID d'une zone hébergée privée Route 53. Si vous spécifiez `Resolver/Private` le `QueryLogType` paramètre, la ressource doit être l'ID d'un VPC.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:DescribeVpcs`
+ `firehose:ListTagsForDeliveryStream`
+ `firehose:PutRecord`
+ `firehose:PutRecordBatch`
+ `firehose:TagDeliveryStream`
+ `iam:AttachRolePolicy`
+ `iam:CreatePolicy`
+ `iam:CreateRole`
+ `iam:CreateServiceLinkedRole`
+ `iam:DeletePolicy`
+ `iam:DeleteRole`
+ `iam:DeleteRolePolicy`
+ `iam:GetPolicy`
+ `iam:GetRole`
+ `iam:PassRole`
+ `iam:PutRolePolicy`
+ `iam:TagRole`
+ `iam:UpdateRole`
+ `logs:CreateLogDelivery`
+ `logs:CreateLogGroup`
+ `logs:DeleteLogDelivery`
+ `logs:DeleteLogGroup`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `logs:DescribeResourcePolicies`
+ `logs:ListLogDeliveries`
+ `logs:PutResourcePolicy`
+ `logs:PutRetentionPolicy`
+ `logs:UpdateLogDelivery`
+ `route53:CreateQueryLoggingConfig`
+ `route53:DeleteQueryLoggingConfig`
+ `route53:GetHostedZone`
+ `route53resolver:AssociateResolverQueryLogConfig`
+ `route53resolver:CreateResolverQueryLogConfig`
+ `route53resolver:DeleteResolverQueryLogConfig`
+ `s3:GetBucketAcl`
**Étapes de document**
+ `aws:executeScript`- Vérifie que la ressource que vous spécifiez pour le `ResourceId` paramètre existe et vérifie si le type de ressource correspond à l'`QueryLogType`option requise.
+ `aws:executeScript`- Vérifie que la valeur que vous spécifiez pour le `LogDestinationArn` paramètre correspond à la valeur requise. `QueryLogType`
+ `aws:executeScript`- Vérifie les autorisations requises pour que Route 53 publie des journaux dans le groupe de CloudWatch journaux Logs et crée la politique de ressources IAM requise si elle n'existe pas.
+ `aws:executeScript`- Active l'enregistrement des requêtes DNS sur la destination sélectionnée.
# `AWSSupport-ConfigureTrafficMirroring`
**Description**
Le `AWSSupport-ConfigureTrafficMirroring` runbook configure la mise en miroir du trafic pour vous aider à résoudre les problèmes de connectivité entre un équilibreur de charge et les instances Amazon Elastic Compute Cloud (Amazon EC2). La mise en miroir du trafic copie le trafic entrant et sortant depuis les interfaces réseau associées à vos instances. Pour configurer la mise en miroir du trafic, ce runbook crée les cibles, les filtres et les sessions requis. Par défaut, le runbook configure la mise en miroir de tout le trafic entrant et sortant pour tous les protocoles, à l'exception d'Amazon DNS. Si vous souhaitez refléter le trafic provenant de sources et de destinations spécifiques, vous pouvez modifier les règles entrantes et sortantes une fois l'automatisation terminée.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ConfigureTrafficMirroring)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ Source ENI
Type : Chaîne
Description : (Obligatoire) L'interface Elastic network pour laquelle vous souhaitez configurer la mise en miroir du trafic.
+ Cible
Type : Chaîne
Description : (Obligatoire) Destination du trafic reflété. Vous devez spécifier l'ID d'une interface réseau, d'un Network Load Balancer ou d'un point de terminaison Gateway Load Balancer. Si vous spécifiez un Network Load Balancer, il doit y avoir des écouteurs UDP sur le port 4789.
+ SessionNumber
Type : Chaîne
Valeurs valides : 1-32766
Description : (Obligatoire) Numéro de la session miroir que vous souhaitez utiliser.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:CreateTrafficMirrorTarget`
+ `ec2:CreateTrafficMirrorFilter`
+ `ec2:CreateTrafficMirrorFilterRule`
+ `ec2:CreateTrafficMirrorSession`
+ `ec2:DeleteTrafficMirrorSession`
+ `ec2:DeleteTrafficMirrorFilter`
+ `ec2:DeleteTrafficMirrorSession`
+ `ec2:DeleteTrafficMirrorFilterRule`
+ `iam:ListRoles`
+ `ssm:GetAutomationExecution`
+ `ssm:StartAutomationExecution`
**Étapes de document**
+ `aws:executeScript`- Exécute un script pour créer une cible.
+ `aws:executeAwsApi`- Crée une règle de filtrage.
+ `aws:executeAwsApi`- Crée une règle de filtre miroir pour tout le trafic entrant.
+ `aws:executeAwsApi`- Crée une règle de filtre miroir pour tout le trafic sortant.
+ `aws:executeAwsApi`- Crée une session de miroir du trafic.
+ `aws:executeAwsApi`- Supprime le filtre en cas d'échec de la création du filtre ou de la session.
+ `aws:executeAwsApi`- Supprime la cible en cas d'échec de la création du filtre ou de la session.
**Sorties**
CreateFilter.FilterId
CreateSession.SessionId
CreateTarget.Cible IDOutput
# `AWSSupport-ConnectivityTroubleshooter`
**Description**
Le `AWSSupport-ConnectivityTroubleshooter` runbook diagnostique les problèmes de connectivité entre les éléments suivants :
+ AWS ressources au sein d'un Amazon Virtual Private Cloud (Amazon VPC)
+ AWS ressources situées dans différents Amazon VPCs au sein d'un même Région AWS Amazon et connectées à l'aide du peering VPC
+ AWS ressources d'un Amazon VPC et d'une ressource Internet à l'aide d'une passerelle Internet
+ AWS ressources d'un Amazon VPC et d'une ressource Internet utilisant une passerelle de traduction d'adresses réseau (NAT)
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ConnectivityTroubleshooter)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ IP de destination
Type : Chaîne
Description : (Obligatoire) IPv4 Adresse de la ressource à laquelle vous souhaitez vous connecter.
+ DestinationPort
Type : Chaîne
Valeur par défaut : true
Description : (Obligatoire) Le numéro de port auquel vous souhaitez vous connecter sur la ressource de destination.
+ DestinationVpc
Type : Chaîne
Par défaut : Tous
Description : (Facultatif) L'ID du VPC Amazon auquel vous souhaitez tester la connectivité.
+ SourceIP
Type : Chaîne
Description : (Obligatoire) IPv4 Adresse privée de la AWS ressource de votre Amazon VPC à partir de laquelle vous souhaitez tester la connectivité.
+ SourcePortRange
Type : Chaîne
Description : (Facultatif) La plage de ports utilisée par la AWS ressource de votre Amazon VPC à partir de laquelle vous souhaitez tester la connectivité.
+ SourceVpc
Type : Chaîne
Par défaut : Tous
Description : (Facultatif) L'ID du VPC Amazon à partir duquel vous souhaitez tester la connectivité.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:DescribeNatGateways`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeVpcPeeringConnections`
**Étapes de document**
+ `aws:executeScript`- Rassemble des informations sur la AWS ressource que vous spécifiez dans le `SourceIP` paramètre.
+ `aws:executeScript`- Détermine la destination du trafic réseau provenant de la AWS ressource en utilisant les itinéraires collectés à l'étape précédente.
+ `aws:branch`- Branches basées sur la destination du trafic réseau.
+ `aws:executeAwsApi`- Recueille des informations sur la ressource de destination.
+ `aws:executeScript`- Confirme que l'ID renvoyé pour le VPC Amazon de destination correspond à la valeur spécifiée, le cas échéant, dans le `DestinationVpc` paramètre.
+ `aws:executeAwsApi`- Rassemble les règles du groupe de sécurité pour les ressources source et de destination.
+ `aws:executeScript`- Confirme si les règles du groupe de sécurité autorisent le trafic nécessaire entre les ressources source et de destination.
+ `aws:executeAwsApi`- Rassemble les listes de contrôle d'accès réseau (NACLs) associées aux sous-réseaux pour les ressources source et de destination.
+ `aws:executeScript`- Confirme s'ils NACLs autorisent le trafic nécessaire entre les ressources source et de destination.
+ `aws:executeScript`- Confirme si la source possède une adresse IP publique associée à la ressource, si la destination de la route est une passerelle Internet.
+ `aws:executeAwsApi`- Rassemble les règles du groupe de sécurité pour la ressource source.
+ `aws:executeScript`- Confirme si les règles du groupe de sécurité autorisent le trafic nécessaire entre la source et la ressource de destination.
+ `aws:executeAwsApi`- Rassemble les informations NACLs associées au sous-réseau pour la ressource source.
+ `aws:executeScript`- Confirme s'ils NACLs autorisent le trafic nécessaire à partir de la ressource source.
+ `aws:executeAwsApi`- Recueille des informations sur la passerelle NAT.
+ `aws:executeAwsApi`- Rassemble les informations NACLs associées au sous-réseau pour la passerelle NAT.
+ `aws:executeScript`- Confirme si le NACLs trafic nécessaire est autorisé depuis le sous-réseau pour la passerelle NAT.
+ `aws:executeScript`- Rassemble les routes associées au sous-réseau pour la passerelle NAT.
+ `aws:executeScript`- Confirme si la passerelle NAT possède une route vers une passerelle Internet.
+ `aws:executeAwsApi`- Recueille des informations sur la connexion d'appairage VPC.
+ `aws:executeScript`- Confirme que les deux VPCs se trouvent dans la même région et que l'ID renvoyé pour le VPC de destination correspond à la valeur spécifiée, le cas échéant, dans le `DestinationVpc` paramètre.
+ `aws:executeAwsApi`- Renvoie le sous-réseau de la ressource de destination.
+ `aws:executeScript`- Regroupe les routes associées au sous-réseau pour le VPC homologue.
+ `aws:executeScript`- Confirme si le VPC apparenté possède une route vers la connexion d'appairage.
+ `aws:executeScript`- Confirme si le trafic est autorisé depuis la ressource source si la destination n'est pas prise en charge par l'automatisation.
# `AWSSupport-TroubleshootVPN`
**Description**
Le `AWSSupport-TroubleshootVPN` runbook vous aide à suivre et à résoudre les erreurs dans une AWS Site-to-Site VPN connexion. L'automatisation comprend plusieurs contrôles automatisés conçus pour détecter les `IKEv1` `IKEv2` erreurs liées aux tunnels de AWS Site-to-Site VPN connexion. L'automatisation essaie de faire correspondre des erreurs spécifiques et la résolution correspondante forme une liste de problèmes courants.
**Remarque :** Cette automatisation ne corrige pas les erreurs. Il s'exécute pendant la période mentionnée et analyse le groupe de journaux à la recherche d'erreurs dans le [groupe de CloudWatch journaux VPN](https://docs.aws.amazon.com//vpn/latest/s2svpn/log-contents.html).
**Fonctionnement**
Le runbook exécute une validation des paramètres pour confirmer si le groupe de CloudWatch journaux Amazon inclus dans le paramètre d'entrée existe, si le groupe de journaux contient des flux de journaux correspondant à la journalisation du tunnel VPN, si l'identifiant de connexion VPN existe et si l'adresse IP du tunnel existe. Il effectue des appels d'API Logs Insights sur votre groupe de CloudWatch journaux qui sont configurés pour la journalisation VPN.
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ LogGroupName
Type : Chaîne
Description : (Obligatoire) Le nom du groupe de CloudWatch journaux Amazon configuré pour la journalisation des AWS Site-to-Site VPN connexions
Modèle autorisé : `^[\.\-_/#A-Za-z0-9]{1,512}`
+ VpnConnectionId
Type : Chaîne
Description : (Obligatoire) L'identifiant de AWS Site-to-Site VPN connexion à résoudre.
Modèle autorisé : `^vpn-[0-9a-f]{8,17}$`
+ Tunnel AIPAddress
Type : Chaîne
Description : (Obligatoire) L' IPv4 adresse du tunnel numéro 1 associée à votre AWS Site-to-Site VPN.
Modèle autorisé : `^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}$`
+ Tunnel BIPAddress
Type : Chaîne
Description : (Facultatif) L' IPv4 adresse du tunnel numéro 2 associée à votre AWS Site-to-Site VPN.
Modèle autorisé : `^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}|^$`
+ IKEVersion
Type : Chaîne
Description : (Obligatoire) Sélectionnez la version IKE que vous utilisez. Valeurs autorisées : IKEv1, IKEv2
Valeurs valides : `['IKEv1', 'IKEv2']`
+ StartTimeinEpoch
Type : Chaîne
Description : (Facultatif) Heure de début de l'analyse du journal. Vous pouvez utiliser StartTimeinEpoch/EndTimeinEpoch ou LookBackPeriod pour l'analyse des journaux
Modèle autorisé : `^\d{10}|^$`
+ EndTimeinEpoch
Type : Chaîne
Description : (Facultatif) Heure de fin de l'analyse du journal. Vous pouvez utiliser StartTimeinEpoch/EndTimeinEpoch ou LookBackPeriod pour l'analyse des journaux. Si les deux sont donnés StartTimeinEpoch/EndTimeinEpoch , la priorité LookBackPeriod est LookBackPeriod alors
Modèle autorisé : `^\d{10}|^$`
+ LookBackPeriod
Type : Chaîne
Description : (Facultatif) Durée à deux chiffres en heures de consultation rétrospective pour l'analyse du journal. Plage valide : 01 - 99. Cette valeur est prioritaire si vous indiquez StartTimeinEpoch également et EndTime
Modèle autorisé : `^(\d?[1-9]|[1-9]0)|^$`
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `logs:DescribeLogGroups`
+ `logs:GetQueryResults`
+ `logs:DescribeLogStreams`
+ `logs:StartQuery`
+ `ec2:DescribeVpnConnections`
**Instructions**
**Remarque :** Cette automatisation fonctionne sur les groupes de CloudWatch journaux configurés pour la journalisation de votre tunnel VPN, lorsque le format de sortie de journalisation est JSON.
Pour configurer l'automatisation, procédez comme suit :
1. Accédez au [AWSSupport-TroubleshootVPN](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootVPN/description)dans la AWS Systems Manager console.
1. Pour les paramètres d'entrée, entrez ce qui suit :
+ **AutomationAssumeRole (Facultatif) :**
Amazon Resource Name (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ **LogGroupName (Obligatoire) :**
Le nom du groupe de CloudWatch journaux Amazon à valider. Il doit s'agir du groupe de CloudWatch journaux configuré pour que le VPN envoie des journaux.
+ **VpnConnectionId (Obligatoire) :**
L'identifiant de AWS Site-to-Site VPN connexion dont le groupe de journaux est tracé pour détecter une erreur VPN.
+ **Tunnel AIPAddress (obligatoire) :**
Le tunnel Une adresse IP associée à votre AWS Site-to-Site VPN connexion.
+ **Tunnel BIPAddress (facultatif) :**
Adresse IP du tunnel B associée à votre AWS Site-to-Site VPN connexion.
+ **IKEVersion (Obligatoire) :**
Sélectionnez ce IKEversion que vous utilisez. Valeurs autorisées : IKEv1, IKEv2.
+ **StartTimeinEpoch (Facultatif) :**
Début de la plage de temps pour laquelle une erreur doit être demandée. La plage étant inclusive, l'heure de début spécifiée est incluse dans la requête. Spécifié comme heure de l'époque, le nombre de secondes écoulées depuis le 1er janvier 1970, 00:00:00 UTC.
+ **EndTimeinEpoch (Facultatif) :**
Fin de l'intervalle de temps pour rechercher des erreurs. La plage étant inclusive, l'heure de fin spécifiée est incluse dans la requête. Spécifié comme heure de l'époque, le nombre de secondes écoulées depuis le 1er janvier 1970, 00:00:00 UTC.
+ **LookBackPeriod (Obligatoire) :**
Temps, en heures, nécessaire pour revenir sur la requête afin de détecter une erreur.
**Remarque :** Configurez un StartTimeinEpoch EndTimeinEpoch, ou LookBackPeriod pour fixer la plage de temps pour l'analyse des journaux. Donnez un nombre à deux chiffres en heures pour vérifier les erreurs passées depuis le début de l'automatisation. Ou, si l'erreur s'est produite dans le passé dans un intervalle de temps spécifique, incluez StartTimeinEpoch et EndTimeinEpoch, au lieu de LookBackPeriod.
![\[Input parameters form for AWS Site-to-Site VPN connection validation and log analysis.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-vpn_input_parameters.png)
1. Sélectionnez **Exécuter**.
1. L'automatisation démarre.
1. Le runbook d'automatisation exécute les étapes suivantes :
+ **Validation des paramètres :**
Exécute une série de validations sur les paramètres d'entrée inclus dans l'automatisation.
+ **branchOnValidationOfLogGroup:**
Vérifie si le groupe de logs mentionné dans le paramètre est valide. S'il n'est pas valide, il arrête le lancement ultérieur des étapes d'automatisation.
+ **branchOnValidationOfLogStream:**
Vérifie si le flux de journaux existe dans le groupe de CloudWatch journaux inclus. S'il n'est pas valide, il arrête le lancement ultérieur des étapes d'automatisation.
+ **branchOnValidationOfVpnConnectionId:**
Vérifie si l'identifiant de connexion VPN inclus dans le paramètre est valide. S'il n'est pas valide, il arrête le lancement ultérieur des étapes d'automatisation.
+ **branchOnValidationOfVpnIp:**
Vérifie si l'adresse IP du tunnel mentionnée dans le paramètre est valide ou non. S'il n'est pas valide, il arrête l'exécution ultérieure des étapes d'automatisation.
+ **Erreur de traçage :**
Effectue un appel à l'API Logs Insight dans le groupe de CloudWatch journaux inclus et recherche l'erreur liée à IKEv1/IKEv2 ainsi qu'une solution suggérée associée.
1. Une fois terminé, consultez la section Sorties pour connaître les résultats détaillés de l'exécution.
![\[Output section showing parameter validation results and error messages for VPN tunnels.\]](http://docs.aws.amazon.com/fr_fr/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-vpn_outputs.png)
**Références**
Systems Manager Automation
+ [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-DDoSResiliencyAssessment)
+ [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
AWS documentation de service
+ [Contenu des journaux Site-to-Site VPN](https://docs.aws.amazon.com//vpn/latest/s2svpn/log-contents.html)
# `AWSConfigRemediation-DeleteEgressOnlyInternetGateway`
**Description**
Le `AWSConfigRemediation-DeleteEgressOnlyInternetGateway` runbook supprime la passerelle Internet de sortie uniquement que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteEgressOnlyInternetGateway)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ EgressOnlyInternetGatewayId
Type : Chaîne
Description : (Obligatoire) L'ID de la passerelle Internet de sortie uniquement que vous souhaitez supprimer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DeleteEgressOnlyInternetGateway`
+ `ec2:DescribeEgressOnlyInternetGateways`
**Étapes de document**
+ `aws:executeScript`- Supprime la passerelle Internet de sortie uniquement spécifiée dans le paramètre. `EgressOnlyInternetGatewayId`
+ `aws:executeScript`- Vérifie que la passerelle Internet de sortie uniquement a été supprimée.
# `AWSConfigRemediation-DeleteUnusedENI`
**Description**
Le `AWSConfigRemediation-DeleteUnusedENI` runbook supprime une Elastic Network Interface (ENI) dont le statut de pièce jointe est de. `detached`
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteUnusedENI)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ NetworkInterfaceId
Type : Chaîne
Description : (Obligatoire) L'ID de l'ENI que vous souhaitez supprimer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DeleteNetworkInterface`
+ `ec2:DescribeNetworkInterfaces `
**Étapes de document**
+ `aws:executeAwsApi`- Supprime l'ENI que vous spécifiez dans le `NetworkInterfaceId` paramètre.
+ `aws:executeScript`- Vérifie que l'ENI a été supprimée.
# `AWSConfigRemediation-DeleteUnusedSecurityGroup`
**Description**
Le `AWSConfigRemediation-DeleteUnusedSecurityGroup` runbook supprime le groupe de sécurité que vous spécifiez dans le `GroupId` paramètre. Si vous tentez de supprimer un groupe de sécurité associé à une instance Amazon Elastic Compute Cloud (Amazon EC2) ou référencé par un autre groupe de sécurité, l'automatisation échoue. Cette automatisation ne supprime pas de groupe de sécurité par défaut.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteUnusedSecurityGroup)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ GroupId
Type : Chaîne
Description : (Obligatoire) L'ID du groupe de sécurité que vous souhaitez supprimer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DeleteSecurityGroup`
**Étapes de document**
+ `aws:executeAwsApi`- Renvoie le nom du groupe de sécurité en utilisant la valeur que vous indiquez dans le `GroupId` paramètre.
+ `aws:branch`- Confirme que le nom du groupe n'est pas « par défaut ».
+ `aws:executeAwsApi`- Supprime le groupe de sécurité spécifié dans le `GroupId` paramètre.
+ `aws:executeScript`- Confirme que le groupe de sécurité a été supprimé.
# `AWSConfigRemediation-DeleteUnusedVPCNetworkACL`
**Description**
Le `AWSConfigRemediation-DeleteUnusedVPCNetworkACL` runbook supprime une liste de contrôle d'accès réseau (ACL) qui n'est pas associée à un sous-réseau.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteUnusedVPCNetworkACL)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ NetworkAclId
Type : Chaîne
Description : (Obligatoire) L'ID de l'ACL réseau que vous souhaitez supprimer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DeleteNetworkAcl`
+ `ec2:DescribeNetworkAcls`
**Étapes de document**
+ `aws:executeAwsApi`- Supprime l'ACL réseau spécifiée dans le `NetworkAclId` paramètre.
+ `aws:executeScript`- Confirme que l'ACL réseau spécifiée dans le `NetworkAclId` paramètre a été supprimée.
# `AWSConfigRemediation-DeleteVPCFlowLog`
**Description**
Le `AWSConfigRemediation-DeleteVPCFlowLog` runbook supprime le journal de flux du cloud privé virtuel (VPC) que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteVPCFlowLog)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ FlowLogId
Type : Chaîne
Description : (Obligatoire) L'ID du journal de flux que vous souhaitez supprimer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DeleteFlowLogs`
+ `ec2:DescribeFlowLogs`
**Étapes de document**
+ `aws:executeAwsApi`- Supprime le journal de flux que vous spécifiez dans le `FlowLogId` paramètre.
+ `aws:executeScript`- Vérifie que le journal de flux a été supprimé.
# `AWSConfigRemediation-DetachAndDeleteInternetGateway`
**Description**
Le `AWSConfigRemediation-DetachAndDeleteInternetGateway` runbook détache et supprime la passerelle Internet que vous spécifiez. Si des adresses IP élastiques ou publiques IPv4 sont associées à des instances Amazon EC2 de votre cloud privé virtuel (VPC), le runbook échoue.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DetachAndDeleteInternetGateway)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ InternetGatewayId
Type : Chaîne
Description : (Obligatoire) L'ID de la passerelle Internet que vous souhaitez supprimer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DeleteInternetGateway`
+ `ec2:DescribeInternetGateways`
+ `ec2:DetachInternetGateway`
**Étapes de document**
+ `aws:waitForAwsResourceProperty`- Accepte l'ID de la passerelle privée virtuelle et attend que la propriété d'état de la passerelle privée virtuelle `available` soit modifiée ou expire.
+ `aws:executeAwsApi`- Récupère une configuration de passerelle privée virtuelle spécifiée.
+ `aws:branch`- Branches basées sur la valeur du paramètre VpcAttachments .state.
+ `aws:waitForAwsResourceProperty`- Accepte l'ID de la passerelle privée virtuelle et attend que la propriété VpcAttachments .state de la passerelle privée virtuelle soit modifiée `attached` ou expire.
+ `aws:executeAwsApi`- Accepte l'ID de la passerelle privée virtuelle et l'ID de l'Amazon VPC en entrée, et détache la passerelle privée virtuelle de l'Amazon VPC.
+ `aws:waitForAwsResourceProperty`- Accepte l'ID de la passerelle privée virtuelle et attend que la propriété VpcAttachments .state de la passerelle privée virtuelle soit modifiée `detached` ou expire.
+ `aws:executeAwsApi`- Accepte l'ID de la passerelle privée virtuelle en entrée et le supprime.
+ `aws:waitForAwsResourceProperty`- Accepte l'ID de la passerelle privée virtuelle en entrée et vérifie sa suppression.
`aws:executeAwsApi`- Recueille l'ID VPC à partir de l'ID de passerelle Internet.
+ `aws:executeAwsApi`- Détache l'ID de passerelle Internet du VPC.
+ `aws:executeAwsApi`- Supprime la passerelle Internet.
# `AWSConfigRemediation-DetachAndDeleteVirtualPrivateGateway`
**Description**
Le `AWSConfigRemediation-DetachAndDeleteVirtualPrivateGateway` runbook détache et supprime une passerelle privée virtuelle Amazon Elastic Compute Cloud (Amazon EC2) donnée attachée à un cloud privé virtuel (VPC) créé avec Amazon Virtual Private Cloud (Amazon VPC).
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DetachAndDeleteVirtualPrivateGateway)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ VpnGatewayId
Type : Chaîne
Description : (Obligatoire) L'ID de la passerelle privée virtuelle à supprimer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DeleteVpnGateway`
+ `ec2:DetachVpnGateway`
+ `ec2:DescribeVpnGateways`
**Étapes de document**
+ `aws:waitForAwsResourceProperty`- Accepte l'ID de la passerelle privée virtuelle et attend que la propriété d'état de la passerelle privée virtuelle `available` soit modifiée ou expire.
+ `aws:executeAwsApi`- Récupère une configuration de passerelle privée virtuelle spécifiée.
+ `aws:branch`- Branches basées sur la valeur du paramètre VpcAttachments .state.
+ `aws:waitForAwsResourceProperty`- Accepte l'ID de la passerelle privée virtuelle et attend que la propriété VpcAttachments .state de la passerelle privée virtuelle soit modifiée `attached` ou expire.
+ `aws:executeAwsApi`- Accepte l'ID de la passerelle privée virtuelle et l'ID de l'Amazon VPC en entrée, et détache la passerelle privée virtuelle de l'Amazon VPC.
+ `aws:waitForAwsResourceProperty`- Accepte l'ID de la passerelle privée virtuelle et attend que la propriété VpcAttachments .state de la passerelle privée virtuelle soit modifiée `detached` ou expire.
+ `aws:executeAwsApi`- Accepte l'ID de la passerelle privée virtuelle en entrée et le supprime.
+ `aws:waitForAwsResourceProperty`- Accepte l'ID de la passerelle privée virtuelle en entrée et vérifie sa suppression.
# `AWS-DisableIncomingSSHOnPort22`
**Description**
Le `AWS-DisableIncomingSSHOnPort22` runbook supprime les règles qui autorisent le trafic SSH entrant illimité sur le port TCP 22 pour les groupes de sécurité.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-DisableIncomingSSHOnPort22)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ SecurityGroupIds
Type : Chaîne
Description : (Obligatoire) Liste séparée par des virgules des groupes IDs de sécurité pour lesquels vous souhaitez restreindre le trafic SSH.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ec2:DescribeSecurityGroups`
+ `ec2:RevokeSecurityGroupIngress`
**Étapes de document**
+ `aws:executeAwsApi`- Supprime toutes les règles autorisant le trafic SSH entrant sur le port TCP 22 à partir des groupes de sécurité que vous spécifiez dans le `SecurityGroupIds` paramètre.
**Sorties**
DisableIncomingSSHTemplate. RestrictedSecurityGroupIds - Une liste des groupes IDs de sécurité dont les règles SSH entrantes ont été supprimées.
# `AWS-DisablePublicAccessForSecurityGroup`
**Description**
Ce runbook désactive les ports SSH et RDP par défaut ouverts à toutes les adresses IP.
**Important**
Ce runbook échoue avec un « »InvalidPermission. NotFound« erreur pour les groupes de sécurité qui répondent aux deux critères suivants : 1) Le groupe de sécurité est situé dans un VPC autre que celui par défaut ; et 2) Les règles entrantes du groupe de sécurité ne spécifient pas les ports ouverts selon les quatre modèles suivants :
`0.0.0.0/0`
`::/0`
`SSH or RDP port + 0.0.0.0/0`
`SSH or RDP port + ::/0`
**Note**
Ce runbook n'est pas disponible Régions AWS en Chine.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-DisablePublicAccessForSecurityGroup)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ GroupId
Type : Chaîne
Description : (Obligatoire) ID du groupe de sécurité pour lequel les ports doivent être désactivés.
+ IpAddressToBlock
Type : Chaîne
Description : (Facultatif) IPv4 Adresses supplémentaires à partir desquelles l'accès doit être bloqué, au format`1.2.3.4/32`.
# `AWSConfigRemediation-DisableSubnetAutoAssignPublicIP`
**Description**
Le `AWSConfigRemediation-DisableSubnetAutoAssignPublicIP` runbook désactive l'attribut d'adressage IPv4 public pour le sous-réseau que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DisableSubnetAutoAssignPublicIP)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ SubnetId
Type : Chaîne
Description : (Obligatoire) L'ID du sous-réseau sur lequel vous souhaitez désactiver l'attribut d' IPv4 adresse publique d'attribution automatique.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DescribeSubnets`
+ `ec2:ModifySubnetAttribute`
**Étapes de document**
+ `aws:executeAwsApi`- Désactive l'attribut d' IPv4adresse publique d'attribution automatique pour le sous-réseau que vous avez spécifié dans le paramètre. `SubnetId`
+ `aws:assertAwsResourceProperty`- Vérifie que l'attribut a été désactivé.
# `AWSSupport-EnableVPCFlowLogs`
**Description**
Le `AWSSupport-EnableVPCFlowLogs ` runbook crée des journaux de flux Amazon Virtual Private Cloud (Amazon VPC) pour les sous-réseaux, les interfaces réseau et dans votre. VPCs Compte AWS Si vous créez un journal de flux pour un sous-réseau ou un VPC, chaque interface réseau élastique de ce sous-réseau ou d'Amazon VPC est surveillée. Les données des journaux de flux sont publiées dans le groupe de CloudWatch journaux Amazon Logs ou dans le compartiment Amazon Simple Storage Service (Amazon S3) que vous spécifiez. Pour plus d'informations sur les journaux de flux, consultez la section [Journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) dans le guide de l'*utilisateur Amazon VPC*.
**Important**
Les frais d'ingestion de données et d'archivage pour les journaux vendus s'appliquent lorsque vous publiez des journaux de flux sur CloudWatch Logs ou sur Amazon S3. Pour plus d'informations, consultez la section [Tarification de Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-pricing)
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-EnableVPCFlowLogs)
**Note**
Lors de la sélection `s3` comme destination du journal, assurez-vous que la politique du compartiment autorise le service de livraison des journaux à accéder au compartiment. Pour plus d'informations, consultez la section [Autorisations du compartiment Amazon S3 pour les journaux de flux](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-s3.html#flow-logs-s3-permissions).
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ DeliverLogsPermissionArn
Type : Chaîne
Description : (Facultatif) L'ARN du rôle IAM qui permet à Amazon Elastic Compute Cloud (Amazon EC2) de publier des journaux de flux dans le groupe de journaux Logs de votre CloudWatch compte. Si vous spécifiez `s3` le `LogDestinationType` paramètre, ne fournissez pas de valeur pour ce paramètre. Pour plus d'informations, consultez [Publier des journaux de flux dans des CloudWatch journaux](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-cwl.html) dans le guide de l'*utilisateur Amazon VPC*.
+ LogDestinationARN
Type : Chaîne
Description : (Facultatif) L'ARN de la ressource sur laquelle les données du journal de flux sont publiées. Si le `LogDestinationType` paramètre `cloud-watch-logs` est spécifié, indiquez l'ARN du groupe de CloudWatch journaux de journaux dans lequel vous souhaitez publier les données des journaux de flux. Vous pouvez également utiliser `LogGroupName` à la place. Si le `LogDestinationType` paramètre `s3` est spécifié, vous devez spécifier l'ARN du compartiment Amazon S3 dans lequel vous souhaitez publier les données du journal de flux pour ce paramètre. Vous pouvez également spécifier un dossier dans le compartiment.
**Important**
Lorsque `LogDestinationType` vous le choisissez`s3`, vous devez vous assurer que le compartiment sélectionné respecte les [meilleures pratiques en matière de sécurité des compartiments Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) et que vous respectez les lois sur la confidentialité des données applicables à votre organisation et à votre région géographique.
+ LogDestinationType
Type : Chaîne
Valeurs valides : cloud-watch-logs \$1 s3
Description : (Obligatoire) Détermine où les données du journal de flux sont publiées. Si vous spécifiez `LogDestinationType` comme`s3`, ne spécifiez pas `DeliverLogsPermissionArn` ou`LogGroupName`.
+ LogFormat
Type : Chaîne
Description : (Facultatif) Les champs à inclure dans le journal de flux et l'ordre dans lequel ils doivent apparaître dans l'enregistrement. Pour obtenir la liste des champs disponibles, consultez la section [Enregistrements du journal de flux](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-log-records) dans le guide de l'*utilisateur Amazon VPC*. Si vous ne fournissez aucune valeur pour ce paramètre, le journal de flux est créé selon le format par défaut. Si vous spécifiez ce paramètre, vous devez spécifier au moins un champ.
+ LogGroupName
Type : Chaîne
Description : (Facultatif) Nom du groupe de CloudWatch journaux dans lequel les données des journaux de flux sont publiées. Si vous spécifiez `s3` le `LogDestinationType` paramètre, ne fournissez pas de valeur pour ce paramètre.
+ ResourceIds
Type : StringList
Description : (Obligatoire) Liste séparée par des virgules IDs des sous-réseaux, interfaces réseau élastiques ou VPC pour lesquels vous souhaitez créer un journal de flux.
+ TrafficType
Type : Chaîne
Valeurs valides : ACCEPTER \$1 REJETER \$1 TOUT
Description : (Obligatoire) Type de trafic à enregistrer. Vous pouvez consigner le trafic que la ressource accepte ou rejette, ou tout le trafic.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:CreateFlowLogs`
+ `ec2:DeleteFlowLogs`
+ `ec2:DescribeFlowLogs`
+ `iam:AttachRolePolicy`
+ `iam:CreateRole`
+ `iam:CreatePolicy`
+ `iam:DeletePolicy`
+ `iam:DeleteRole`
+ `iam:DeleteRolePolicy`
+ `iam:GetPolicy`
+ `iam:GetRole`
+ `iam:TagRole`
+ `iam:PassRole`
+ `iam:PutRolePolicy`
+ `iam:UpdateRole`
+ `logs:CreateLogDelivery`
+ `logs:CreateLogGroup`
+ `logs:DeleteLogDelivery`
+ `logs:DeleteLogGroup`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `s3:GetBucketLocation`
+ `s3:GetBucketAcl`
+ `s3:GetBucketPublicAccessBlock`
+ `s3:GetBucketPolicyStatus`
+ `s3:GetBucketAcl`
+ `s3:ListBucket`
+ `s3:PutObject`
Exemple de politique
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SSMExecutionPermissions",
"Effect": "Allow",
"Action": [
"ssm:StartAutomationExecution",
"ssm:GetAutomationExecution"
],
"Resource": "*"
},
{
"Sid": "EC2FlowLogsPermissions",
"Effect": "Allow",
"Action": [
"ec2:CreateFlowLogs",
"ec2:DeleteFlowLogs",
"ec2:DescribeFlowLogs"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/resource-id",
"arn:aws:ec2:us-east-1:111122223333:subnet/resource-id",
"arn:aws:ec2:us-east-1:111122223333:vpc/resource-id",
"arn:aws:ec2:us-east-1:111122223333:transit-gateway/resource-id",
"arn:aws:ec2:us-east-1:111122223333:transit-gateway-attachment/resource-id"
]
},
{
"Sid": "IAMCreateRolePermissions",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:CreatePolicy",
"iam:DeletePolicy",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:GetPolicy",
"iam:GetRole",
"iam:TagRole",
"iam:PassRole",
"iam:PutRolePolicy",
"iam:UpdateRole"
],
"Resource": [
"arn:aws:iam::111122223333:role/role-name",
"arn:aws:iam::111122223333:role/AWSSupportCreateFlowLogsRole"
]
},
{
"Sid": "CloudWatchLogsPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:DeleteLogDelivery",
"logs:DeleteLogGroup",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:log-group-name",
"arn:aws:logs:us-east-1:111122223333:log-group:log-group-name:*"
]
},
{
"Sid": "S3Permissions",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetBucketPublicAccessBlock",
"s3:GetAccountPublicAccessBlock",
"s3:GetBucketPolicyStatus",
"s3:GetBucketAcl",
"s3:ListBucket",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
**Étapes de document**
+ `aws:branch`- Branches basées sur la valeur spécifiée pour le `LogDestinationType` paramètre.
+ `aws:executeScript`- Vérifie si l'Amazon Simple Storage Service (Amazon S3) cible **accorde** potentiellement un accès en lecture **ou** en `public` écriture à ses objets.
+ `aws:executeScript`- Crée un groupe de journaux si aucune valeur n'est spécifiée pour le `LogDestinationARN` paramètre, mais elle `cloud-watch-logs` est spécifiée pour le `LogDestinationType` paramètre.
+ `aws:executeScript`- Crée des journaux de flux en fonction des valeurs spécifiées dans les paramètres du runbook.
# `AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch`
**Description**
Le `AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch` runbook remplace un journal de flux Amazon VPC existant qui publie les données du journal de flux sur Amazon Simple Storage Service (Amazon S3) par un journal de flux qui publie les données du journal de flux dans le groupe de journaux CloudWatch Amazon Logs CloudWatch (Logs) que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ DestinationLogGroup
Type : Chaîne
Description : (Obligatoire) Nom du groupe de CloudWatch journaux dans lequel vous souhaitez publier les données des journaux de flux.
+ DeliverLogsPermissionArn
Type : Chaîne
Description : (Obligatoire) L'ARN du rôle Gestion des identités et des accès AWS (IAM) que vous souhaitez utiliser et qui fournit à Amazon Elastic Compute Cloud (Amazon EC2) les autorisations requises pour publier les données des journaux de flux dans Logs. CloudWatch
+ FlowLogId
Type : Chaîne
Description : (Obligatoire) L'ID du journal de flux publié sur Amazon S3 que vous souhaitez remplacer.
+ MaxAggregationInterval
Type : Integer
Valeurs valides : 60 \$1 600
Description : (Facultatif) Intervalle de temps maximal, en secondes, pendant lequel un flux de paquets est capturé et agrégé dans un enregistrement de journal de flux.
+ TrafficType
Type : Chaîne
Valeurs valides : ACCEPTER \$1 REJETER \$1 TOUT
Description : (Obligatoire) Type de données du journal de flux que vous souhaitez enregistrer et publier.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:CreateFlowLogs`
+ `ec2:DeleteFlowLogs`
+ `ec2:DescribeFlowLogs`
**Étapes de document**
+ `aws:executeAwsApi`- Recueille des informations sur votre VPC à partir de la valeur que vous spécifiez dans `FlowLogId` le paramètre.
+ `aws:executeAwsApi`- Crée un journal de flux basé sur les valeurs que vous spécifiez pour les paramètres du runbook.
+ `aws:assertAwsResourceProperty`- Vérifie que le journal de flux nouvellement créé est publié dans CloudWatch Logs.
+ `aws:executeAwsApi`- Supprime le journal de flux publié sur Amazon S3.
+ `aws:executeScript`- Confirme que le journal de flux publié sur Amazon S3 a été supprimé.
# `AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket`
**Description**
Le `AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket` runbook *remplace* un journal de flux Amazon VPC existant qui publie les données du journal de flux sur CloudWatch Amazon Logs CloudWatch (Logs) par un journal de flux qui publie les données du journal de flux dans le compartiment Amazon Simple Storage Service (Amazon S3) que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ Destinations 3 BucketArn
Type : Chaîne
Description : (Obligatoire) L'ARN du compartiment Amazon S3 dans lequel vous souhaitez publier les données du journal de flux.
+ FlowLogId
Type : Chaîne
Description : (Obligatoire) L'ID du journal de flux publié dans les CloudWatch journaux que vous souhaitez remplacer.
+ MaxAggregationInterval
Type : Integer
Valeurs valides : 60 \$1 600
Description : (Facultatif) Intervalle de temps maximal, en secondes, pendant lequel un flux de paquets est capturé et agrégé dans un enregistrement de journal de flux.
+ TrafficType
Type : Chaîne
Valeurs valides : ACCEPTER \$1 REJETER \$1 TOUT
Description : (Obligatoire) Type de données du journal de flux que vous souhaitez enregistrer et publier.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:CreateFlowLogs`
+ `ec2:DeleteFlowLogs`
+ `ec2:DescribeFlowLogs`
**Étapes de document**
+ `aws:executeAwsApi`- Recueille des informations sur votre VPC à partir de la valeur que vous spécifiez dans `FlowLogId` le paramètre.
+ `aws:executeAwsApi`- Crée un journal de flux basé sur les valeurs que vous spécifiez pour les paramètres du runbook.
+ `aws:assertAwsResourceProperty`- Vérifie que le journal de flux nouvellement créé est publié sur Amazon S3.
+ `aws:executeAwsApi`- Supprime le journal de flux publié dans CloudWatch Logs.
+ `aws:executeScript`- Confirme que le journal de flux publié dans CloudWatch Logs a été supprimé.
# `AWS-ReleaseElasticIP`
**Description**
Libérer l'adresse IP Elastic spécifiée à l'aide de l'ID d'allocation
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-ReleaseElasticIP)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ AllocationId
Type : Chaîne
Description : (Obligatoire) ID d'allocation de l'adresse IP Elastic.
# `AWS-RemoveNetworkACLUnrestrictedSSHRDP`
**Description**
Le `AWS-RemoveNetworkACLUnrestrictedSSHRDP` runbook supprime toutes les règles de liste de contrôle d'accès réseau (ACL) de l'ACL réseau spécifiée qui autorisent le trafic entrant depuis toutes les adresses sources vers les ports SSH et RDP par défaut. Les règles qui incluent des plages de ports qui se chevauchent avec les ports SSH et RDP par défaut ne sont pas supprimées.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-RemoveNetworkACLUnrestrictedSSHRDP)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ NetworkAclId
Type : Chaîne
Description : (Obligatoire) ID de l'ACL réseau dont vous souhaitez supprimer les règles illimitées qui autorisent le trafic entrant de toutes les adresses source vers les ports SSH et RDP par défaut.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DeleteNetworkAclEntry`
+ `ec2:DescribeNetworkAcls`
**Étapes de document**
+ `aws:executeScript`- Supprime toutes les règles d'entrée qui autorisent le trafic depuis toutes les adresses sources du groupe de sécurité que vous avez spécifié dans le `SecurityGroupId` paramètre.
**Sorties**
RemoveNaclEntriesAndVerify. VerificationMessage - Messages de vérification des règles ACL du réseau correctement supprimées.
RemoveNaclEntriesAndVerify. RulesDeletedAndApiResponses - Les règles ACL du réseau qui ont été supprimées et les réponses aux opérations de l'`DeleteNetworkAclEntry`API.
# `AWSConfigRemediation-RemoveUnrestrictedSourceIngressRules`
**Description**
Le `AWSConfigRemediation-RemoveUnrestrictedSourceIngressRules` runbook supprime toutes les règles d'entrée du groupe de sécurité que vous spécifiez qui autorisent le trafic provenant de toutes les adresses sources.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-RemoveUnrestrictedSourceIngressRules)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ SecurityGroupId
Type : Chaîne
Description : (Obligatoire) L'ID du groupe de sécurité dont vous souhaitez supprimer les règles d'entrée qui autorisent le trafic provenant de toutes les adresses sources.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DescribeSecurityGroups`
+ `ec2:RevokeSecurityGroupIngress`
**Étapes de document**
+ `aws:executeScript`- Supprime toutes les règles d'entrée qui autorisent le trafic depuis toutes les adresses sources du groupe de sécurité que vous avez spécifié dans le `SecurityGroupId` paramètre.
# `AWSConfigRemediation-RemoveVPCDefaultSecurityGroupRules`
**Description**
Le `AWSConfigRemediation-RemoveVPCDefaultSecurityGroupRules` runbook supprime toutes les règles du groupe de sécurité par défaut du cloud privé virtuel (VPC) que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-RemoveVPCDefaultSecurityGroupRules)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ GroupId
Type : Chaîne
Description : (Obligatoire) L'ID du groupe de sécurité dont vous souhaitez supprimer toutes les règles.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DescribeSecurityGroups`
+ `ec2:RevokeSecurityGroupEgress`
+ `ec2:RevokeSecurityGroupIngress`
**Étapes de document**
+ `aws:assertAwsResourceProperty`- Confirme que le groupe de sécurité que vous avez spécifié dans le `GroupId` paramètre est nommé par défaut.
+ `aws:executeScript`- Supprime toutes les règles du groupe de sécurité que vous avez spécifié dans le `GroupId` paramètre.
# `AWSSupport-SetupIPMonitoringFromVPC`
**Description**
`AWSSupport-SetupIPMonitoringFromVPC`crée une instance Amazon Elastic Compute Cloud (Amazon EC2) dans le sous-réseau spécifié et surveille la IPs cible sélectionnée IPv4 ( IPv6ou) en exécutant en permanence des tests ping, MTR, traceroute et tracetcp. Les résultats sont stockés dans les CloudWatch journaux Amazon Logs et des filtres métriques sont appliqués pour visualiser rapidement les statistiques de latence et de perte de paquets dans un CloudWatch tableau de bord.
**Informations supplémentaires**
Les données CloudWatch des journaux peuvent être utilisées pour le dépannage du réseau et pour analyser si le pattern/trends. Additionally, you can configure CloudWatch alarms with Amazon SNS notifications when packet loss and/or temps de latence atteint un certain seuil. Les données peuvent également être utilisées lors de l'ouverture d'un dossier AWS Support, afin d'isoler rapidement un problème et de réduire le temps de résolution lors de l'enquête sur un problème réseau.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-SetupIPMonitoringFromVPC)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ CloudWatchLogGroupNamePrefix
Type : Chaîne
Valeur par défaut : `/AWSSupport-SetupIPMonitoringFromVPC`
Description : (Facultatif) Préfixe utilisé pour chaque groupe de CloudWatch journaux créé pour les résultats du test.
+ CloudWatchLogGroupRetentionInDays
Type : Chaîne
Valeurs valides : 1 \$1 3 \$1 5 \$1 7 \$1 14 \$1 30 \$1 60 \$1 90 \$1 120 \$1 150 \$1 180 \$1 365 \$1 400 \$1 545 \$1 731 \$1 1827 \$1 3653
Valeur par défaut : 7
Description : (Facultatif) nombre de jours pendant lesquels vous souhaitez conserver les résultats de la surveillance du réseau.
+ InstanceType
Type : Chaîne
Valeurs valides : t2.micro \$1 t2.small \$1 t2.medium \$1 t2.large \$1 t3.micro \$1 t3.small \$1 t3.medium \$1 t3.large \$1 t4g.micro \$1 t4g.small \$1 t4g.medium \$1 t4g.large
Par défaut : t3.micro
Description : (Facultatif) Type d'instance EC2 pour l'instance EC2 Rescue. Taille recommandée : t3.micro.
+ SubnetId
Type : Chaîne
Description : (Obligatoire) ID de sous-réseau pour l'instance de surveillance. Sachez que si vous spécifiez un sous-réseau privé, vous devez vous assurer qu'il existe un accès Internet pour permettre à l'instance de surveillance de configurer le test (c'est-à-dire d'installer l'agent CloudWatch Logs, d'interagir avec Systems Manager et CloudWatch).
+ Cible IPs
Type : Chaîne
Description : (Obligatoire) Liste séparée par des virgules de IPv4s et/ou IPv6s à surveiller. Les espaces ne sont pas autorisés. La taille maximale est de 255 caractères. Sachez que si vous fournissez une adresse IP non valide, l'automatisation échoue et restaure la configuration du test.
+ TestInstanceSecurityGroupId
Type : Chaîne
Description : (Facultatif) L'ID du groupe de sécurité pour l'instance de test. Si ce n'est pas spécifié, l'automatisation en crée une lors de la création de l'instance. Assurez-vous que le groupe de sécurité autorise l'accès sortant à la surveillance IPs.
+ TestInstanceProfileName
Type : Chaîne
Description : (Facultatif) Nom d'un profil d'instance IAM existant pour l'instance de test. Si ce n'est pas spécifié, l'automatisation en crée une lors de la création de l'instance. Le rôle doit disposer des autorisations suivantes : `logs:CreateLogStream``logs:DescribeLogGroups`,`logs:DescribeLogStreams`, `logs:PutLogEvents` et de la politique AWS gérée`AmazonSSMManagedInstanceCore`.
+ TestInterval
Type : Chaîne
Description : (Facultatif) Le nombre de minutes entre les intervalles de test. La valeur par défaut est `1` minute et la valeur maximale est `10` minutes.
+ RetainDashboardAndLogsOnDeletion
Type : Chaîne
Description : (Facultatif) Spécifiez `False` la suppression du tableau de CloudWatch bord et des journaux Amazon lors de la suppression de la AWS AWS CloudFormation pile. La valeur par défaut est `True`. Par défaut, le tableau de bord et les journaux sont conservés et devront être supprimés manuellement lorsqu'ils ne seront plus nécessaires.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
**Avertissement**
Il est recommandé de transmettre les `TestInstanceProfileName` paramètres ou de s'assurer que des garde-fous de sécurité sont en place pour empêcher toute utilisation abusive des autorisations IAM modifiables.
Il est recommandé que la politique gérée par **Amazon SSMAutomation Role** IAM soit jointe à l'utilisateur qui exécute l'automatisation. En outre, l'utilisateur doit disposer de la stratégie suivante associée à son compte utilisateur, groupe ou rôle :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:GetRole",
"iam:GetInstanceProfile",
"iam:DetachRolePolicy",
"iam:AttachRolePolicy",
"iam:PassRole",
"iam:AddRoleToInstanceProfile",
"iam:GetRolePolicy",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DeleteInstanceProfile",
"iam:PutRolePolicy",
"iam:TagRole"
],
"Resource": [
"arn:aws:iam::111122223333:role/SetupIPMonitoringFromVPC*",
"arn:aws:iam::111122223333:instance-profile/SetupIPMonitoringFromVPC*"
],
"Effect": "Allow"
},
{
"Action": [
"cloudformation:CreateStack",
"cloudformation:CreateChangeSet",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"cloudwatch:PutDashboard",
"cloudwatch:DeleteDashboards",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:CreateSecurityGroup",
"ec2:CreateLaunchTemplate",
"ec2:DeleteSecurityGroup",
"ec2:DescribeImages",
"ec2:DescribeSubnets",
"ec2:DescribeInstanceTypes",
"ec2:DescribeVpcs",
"ec2:DeleteLaunchTemplate",
"ec2:DeleteSecurityGroup",
"ec2:RunInstances",
"ec2:TerminateInstances",
"ec2:DescribeInstanceStatus",
"ec2:CreateTags",
"ec2:AssignIpv6Addresses",
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeSecurityGroups",
"ec2:DescribeLaunchTemplates",
"ec2:RevokeSecurityGroupEgress",
"logs:CreateLogGroup",
"logs:DeleteLogGroup",
"logs:PutMetricFilter",
"logs:PutRetentionPolicy",
"logs:TagResource",
"ssm:DescribeInstanceInformation",
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:SendCommand",
"ssm:ListCommands",
"ssm:ListCommandInvocations"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
Si le `TestInstanceProfileName` paramètre est fourni, les autorisations IAM suivantes ne sont pas requises pour exécuter le runbook :
+ iam : CreateRole
+ iam : CreateInstanceProfile
+ iam : DetachRolePolicy
+ iam : AttachRolePolicy
+ iam : AddRoleToInstanceProfile
+ iam : RemoveRoleFromInstanceProfile
+ iam : DeleteRole
+ iam : DeleteRolePolicy
+ iam : DeleteInstanceProfile
**Étapes de document**
1. **`aws:executeAwsApi`**- décrivez le sous-réseau fourni pour obtenir l'ID du VPC IPv6 et l'état de l'association des blocs CIDR.
1. **`aws:executeScript`**- validez que la cible fournie est syntaxiquement correcte IPv4 et/ou que IPv6 les adresses IPs sont correctes, obtenez l'architecture du type d'instance sélectionné et vérifiez que le sous-réseau possède une association de IPv6 pool si une adresse IP cible l'est. IPv6
1. **`aws:createStack`**- créez une AWS CloudFormation pile qui approvisionne l'instance Amazon EC2 de test, le profil d'instance IAM (s'il n'est pas fourni), le groupe de sécurité (s'il n'est pas fourni), les groupes de CloudWatch journaux et le tableau de bord. CloudWatch
(Nettoyage) Si l'étape échoue :
**`aws:executeScript`**- décrivez les événements de la CloudFormation pile pour identifier la cause de la panne.
**`aws:deleteStack`**- supprimez la CloudFormation pile et toutes les ressources associées.
1. **`aws:waitForAwsResourceProperty`**- attendez que la création de la CloudFormation pile soit terminée.
(Nettoyage) Si l'étape échoue :
**`aws:executeScript`**- décrivez les événements de la CloudFormation pile pour identifier la cause de la panne.
**`aws:deleteStack`**- supprimez la CloudFormation pile et toutes les ressources associées.
1. **`aws:executeScript`**- décrivez les ressources de la CloudFormation pile pour obtenir l'ID de l'instance de test, l'ID du groupe de sécurité, le rôle IAM, le profil de l'instance et le nom du tableau de bord.
(Nettoyage) Si l'étape échoue :
**`aws:executeScript`**- décrivez les événements de la CloudFormation pile pour identifier la cause de la panne.
**`aws:deleteStack`**- supprimez la CloudFormation pile et toutes les ressources associées.
1. **`aws:waitForAwsResourceProperty`**- attendez que l'instance de test devienne une instance gérée.
(Nettoyage) Si l'étape échoue :
**`aws:deleteStack`**- supprimez la CloudFormation pile et toutes les ressources associées.
1. **`aws:runCommand`**- installez l' CloudWatch agent sur l'instance de test.
(Nettoyage) Si l'étape échoue :
**`aws:deleteStack`**- supprimez la CloudFormation pile et toutes les ressources associées.
1. **`aws:runCommand`**- définissez les scripts de test réseau (MTR, ping, tracepath et traceroute) pour chacun des scripts fournis. IPs
(Nettoyage) Si l'étape échoue :
**`aws:deleteStack`**- supprimez la CloudFormation pile et toutes les ressources associées.
1. **`aws:runCommand`**- lancez les tests réseau et planifiez les exécutions suivantes à l'aide de cronjobs qui s'exécutent toutes les TestInterval minutes.
(Nettoyage) Si l'étape échoue :
**`aws:deleteStack`**- supprimez la CloudFormation pile et toutes les ressources associées.
1. **`aws:runCommand`**- configurez l' CloudWatch agent pour transférer les résultats des tests `/home/ec2-user/logs/` vers CloudWatch Logs.
(Nettoyage) Si l'étape échoue :
**`aws:deleteStack`**- supprimez la CloudFormation pile et toutes les ressources associées.
1. **`aws:runCommand`**- configurez la rotation du journal pour les résultats des tests dans`/home/ec2-user/logs/`.
1. **`aws:executeScript`**- définissez la politique de rétention pour tous les groupes de CloudWatch journaux créés par la CloudFormation pile.
1. **`aws:executeScript`**- créer des filtres métriques pour les groupes de CloudWatch journaux pour la latence du ping et la perte de paquets ping.
(Nettoyage) Si l'étape échoue :
**`aws:deleteStack`**- supprimez la CloudFormation pile et toutes les ressources associées.
1. **`aws:executeScript`**- mettez à jour le CloudWatch tableau de bord pour inclure des widgets pour les statistiques de latence et de perte de paquets ping.
(Nettoyage) Si l'étape échoue :
**`aws:executeAwsApi`**- supprimez le CloudWatch tableau de bord, s'il existe.
**`aws:deleteStack`**- supprimez la CloudFormation pile et toutes les ressources associées.
1. **`aws:branch`**- évaluer le SleepTime paramètre. S'il est défini sur`0`, l'automatisation se termine sans supprimer la pile.
1. **`aws:sleep`**- attendez la SleepTime durée spécifiée avant de supprimer la CloudFormation pile.
1. **`aws:deleteStack`**- supprimez la CloudFormation pile. En fonction du RetainDashboardAndLogsOnDeletion paramètre, le CloudWatch tableau de bord et les groupes de journaux sont conservés ou supprimés.
(Nettoyage) Si la suppression de la pile échoue :
**`aws:executeScript`**- décrivez les événements de la CloudFormation pile pour identifier la raison de l'échec de suppression.
**Sorties**
updateCloudWatchTableau de bord. StackUrl - l'URL de la CloudFormation pile.
updateCloudWatchTableau de bord. DashboardUrl - l'URL du CloudWatch tableau de bord.
updateCloudWatchTableau de bord. DashboardName - le nom du CloudWatch tableau de bord.
updateCloudWatchTableau de bord. LogGroups - la liste des groupes de CloudWatch journaux créés.
describeStackResources. HelperInstanceId - l'ID de l'instance de test.
describeStackResources. StackName - le nom de la CloudFormation pile.
# `AWSSupport-TerminateIPMonitoringFromVPC`
**Description**
`AWSSupport-TerminateIPMonitoringFromVPC`met fin à un test de surveillance IP précédemment lancé par`AWSSupport-SetupIPMonitoringFromVPC`. Les données relatives à l'ID de test spécifié sont supprimées.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TerminateIPMonitoringFromVPC)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ AutomationExecutionId
Type : Chaîne
Description : (Obligatoire) L'ID d'exécution de l'automatisation utilisé lors de l'exécution précédente du `AWSSupport-SetupIPMonitoringFromVPC` runbook. Toutes les ressources associées à cet ID d'exécution sont supprimées.
+ InstanceId
Type : Chaîne
Description : (Obligatoire) ID de l'instance de surveillance.
+ SubnetId
Type : Chaîne
Description : (Obligatoire) ID de sous-réseau pour l'instance de surveillance.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
Il est recommandé que la politique gérée par **Amazon SSMAutomation Role** IAM soit jointe à l'utilisateur qui exécute l'automatisation. En outre, la politique suivante doit être attachée à l'utilisateur, au groupe ou au rôle de l'utilisateur :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:DetachRolePolicy",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteRole",
"iam:DeleteInstanceProfile",
"iam:DeleteRolePolicy"
],
"Resource": [
"arn:aws:iam::111122223333:role/AWSSupport/SetupIPMonitoringFromVPC_*",
"arn:aws:iam::111122223333:instance-profile/AWSSupport/SetupIPMonitoringFromVPC_*"
],
"Effect": "Allow"
},
{
"Action": [
"iam:DetachRolePolicy"
],
"Resource": [
"arn:aws:iam::aws:policy/service-role/AmazonSSMManagedInstanceCore"
],
"Effect": "Allow"
},
{
"Action": [
"cloudwatch:DeleteDashboards"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Action": [
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeSecurityGroups",
"ec2:DeleteSecurityGroup",
"ec2:TerminateInstances",
"ec2:DescribeInstanceStatus"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
**Étapes de document**
1. `aws:assertAwsResourceProperty`- vérifient AutomationExecutionId et InstanceId sont liés au même test.
1. `aws:assertAwsResourceProperty`- vérifient SubnetId et InstanceId sont liés au même test.
1. `aws:executeAwsApi`- récupérer le groupe de sécurité de test.
1. `aws:executeAwsApi`- supprimez le CloudWatch tableau de bord.
1. `aws:changeInstanceState`- arrête l'instance de test.
1. `aws:executeAwsApi`- supprime le profil d'instance IAM du rôle.
1. `aws:executeAwsApi`- supprimez le profil d'instance IAM créé par l'automatisation.
1. `aws:executeAwsApi`- supprimez la politique CloudWatch intégrée du rôle créé par l'automatisation.
1. `aws:executeAwsApi`- détachez la politique SSMManaged InstanceCore gérée par **Amazon** du rôle créé par l'automatisation.
1. `aws:executeAwsApi`- supprimez le rôle IAM créé par l'automatisation.
1. `aws:executeAwsApi`- supprimez le groupe de sécurité créé par l'automatisation, s'il existe.
**Sorties**
Aucune
# AWS WAF
AWS Systems Manager L'automatisation fournit des runbooks prédéfinis pour AWS WAF. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-AddWAFRegionalRuleToRuleGroup`](AWS-AddWAFRegionalRuleToRuleGroup.md)
+ [`AWS-AddWAFRegionalRuleToWebAcl`](AWS-AddWAFRegionalRuleToWebAcl.md)
+ [`AWSConfigRemediation-EnableWAFClassicLogging`](automation-aws-enable-waf-logging.md)
+ [`AWSConfigRemediation-EnableWAFClassicRegionalLogging`](automation-aws-enable-waf-reg-logging.md)
+ [`AWSConfigRemediation-EnableWAFV2Logging`](automation-aws-enable-wafv2-logging.md)
# `AWS-AddWAFRegionalRuleToRuleGroup`
**Description**
Le `AWS-AddWAFRegionalRuleToRuleGroup` runbook ajoute une règle AWS WAF régionale existante à un groupe de règles AWS WAF régional. Seuls les groupes de règles régionaux AWS WAF classiques sont pris en charge. AWS WAF Les groupes de règles régionaux classiques peuvent comporter un maximum de 10 règles.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-AddWAFRegionalRuleToRuleGroup)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ RuleGroupId
Type : Chaîne
Description : (Obligatoire) L'ID du groupe de règles que vous souhaitez mettre à jour.
+ RulePriority
Type : Integer
Description : (Obligatoire) Priorité de la nouvelle règle. La priorité des règles détermine l'ordre dans lequel les règles d'un groupe régional sont évaluées. Les règles dont la valeur est inférieure sont prioritaires par rapport aux règles dont la valeur est supérieure. Cette valeur doit correspondre à un nombre entier unique. Si vous ajoutez plusieurs règles à un groupe de règles régional, les valeurs ne doivent pas nécessairement être consécutives.
+ RuleId
Type : Chaîne
Description : (Obligatoire) L'ID de la règle que vous souhaitez ajouter à votre groupe de règles régional.
+ RuleAction
Type : Chaîne
Description : (Obligatoire) Spécifie l'action à effectuer lorsqu'une requête Web répond aux conditions de la règle. AWS WAF
Valeurs valides : ALLOW \$1 BLOCK \$1 COUNT
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `waf-regional:GetChangeToken`
+ `waf-regional:GetChangeTokenStatus`
+ `waf-regional:ListActivatedRulesInRuleGroup`
+ `waf-regional:UpdateRuleGroup`
**Étapes de document**
+ Get WAFChange Token (aws :executeAwsApi) - Récupère un jeton de AWS WAF modification pour s'assurer que le runbook ne soumette pas de demandes contradictoires au service.
+ Ajouter WAFRule à WAFRegional RuleGroup (AWS:ExecuteScript) : ajoute la règle spécifiée au groupe de règles régional. AWS WAF
+ VerifyChangeTokenPropagating (aws : waitForAwsResourceProperty) - Vérifie que le jeton de modification a le statut `PENDING` ou`INSYNC`.
+ VerifyRuleAddedToRuleGroup (AWS:ExecuteScript) - Vérifie que la AWS WAF règle spécifiée a été ajoutée au groupe de règles régional cible.
**Sorties**
+ VerifyRuleAddedToRuleGroup. VerifyRuleAddedToRuleGroupResponse - Résultat de l'étape de vérification de l'ajout de la nouvelle règle au groupe de règles régional.
+ VerifyRuleAddedToRuleGroup. ListActivatedRulesInRuleGroupResponse - Résultat de l'opération `ListActivatedRulesInRuleGroup` API.
# `AWS-AddWAFRegionalRuleToWebAcl`
**Description**
Le `AWS-AddWAFRegionalRuleToWebAcl` runbook ajoute une règle AWS WAF régionale existante, un groupe de règles ou une règle basée sur le taux à une liste de contrôle d'accès Web (ACL) régionale AWS WAF classique. Ce runbook ne met pas à jour les ACL Web régionaux AWS WAF classiques existants qui sont gérés par AWS Firewall Manager.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-AddWAFRegionalRuleToWebAcl)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Web ACLId
Type : Chaîne
Description : (Obligatoire) L'ID de l'ACL Web que vous souhaitez mettre à jour.
+ ActivatedRulePriority
Type : Integer
Description : (Obligatoire) Priorité de la nouvelle règle. La priorité des règles détermine l'ordre dans lequel les règles d'une ACL Web sont évaluées. Les règles dont la valeur est inférieure sont prioritaires par rapport aux règles dont la valeur est supérieure. Cette valeur doit correspondre à un nombre entier unique. Si vous ajoutez plusieurs règles à une ACL Web régionale, les valeurs ne doivent pas nécessairement être consécutives.
+ ActivatedRuleRuleId
Type : Chaîne
Description : (Obligatoire) L'ID de la règle normale, de la règle basée sur le taux ou du groupe que vous souhaitez ajouter à l'ACL Web.
+ ActivatedRuleAction
Type : Chaîne
Valeurs valides : ALLOW \$1 BLOCK \$1 COUNT
Description : (Facultatif) Spécifie l'action à effectuer lorsqu'une requête Web répond aux conditions de la règle. AWS WAF
+ ActivatedRuleType
Type : Chaîne
Valeurs valides : REGULAR \$1 RATE\$1BASED \$1 GROUP
Par défaut : REGULAR
Description : (Facultatif) Type de règle que vous ajoutez à l'ACL Web. Bien que ce champ soit facultatif, notez que si vous essayez d'ajouter une `RATE_BASED` règle à une ACL Web sans définir le type, la demande échoue car elle utilise par défaut une `REGULAR` règle.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `waf-regional:GetChangeToken`
+ `waf-regional:GetWebACL`
+ `waf-regional:UpdateWebACL`
**Étapes de document**
+ DetermineWebACLNotIn FMSAnd RulePriority (AWS:ExecuteScript) : vérifie si l'ACL AWS WAF Web figure dans une politique de sécurité de Firewall Manager et vérifie que l'ID de priorité n'est pas en conflit avec une ACL existante.
+ AddRuleOrRuleGroupToWebACL (AWS:ExecuteScript) - Ajoute la règle spécifiée à l'ACL Web. AWS WAF
+ VerifyRuleOrRuleGroupAddedToWebAcl (AWS:ExecuteScript) - Vérifie que la AWS WAF règle spécifiée a été ajoutée à l'ACL Web cible.
**Sorties**
+ DetermineWebACLNotDans FMSAndRulePriority. PrereqResponse: sortie de l'`DetermineWebACLNotInFMSAndRulePriority`étape.
+ VerifyRuleOrRuleGroupAddedToWebAcl. VerifyRuleOrRuleGroupAddedToWebACLResponse: sortie de l'`AddRuleOrRuleGroupToWebACL`étape.
+ VerifyRuleOrRuleGroupAddedToWebAcl. ListActivatedRulesOrRuleGroupsInWebACLResponse: Résultat de l'`VerifyRuleOrRuleGroupAddedToWebAcl`étape.
# `AWSConfigRemediation-EnableWAFClassicLogging`
**Description**
Le `AWSConfigRemediation-EnableWAFClassicLogging` runbook permet de se connecter à Amazon Data Firehose (Firehose) pour la liste de contrôle d'accès Web ( AWS WAF ACL Web) que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableWAFClassicRegionalLogging)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ DeliveryStreamName
Type : Chaîne
Description : (Obligatoire) Nom du flux de diffusion Firehose auquel vous souhaitez envoyer des journaux.
+ Web ACLId
Type : Chaîne
Description : (Obligatoire) L'ID de l'ACL AWS WAF Web à laquelle vous souhaitez activer la connexion.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `iam:CreateServiceLinkedRole`
+ `waf:GetLoggingConfiguration`
+ `waf:GetWebAcl `
+ `waf:PutLoggingConfiguration `
**Étapes de document**
+ `aws:executeAwsApi`- Confirme que le flux de diffusion que vous avez spécifié `DeliveryStreamName` existe.
+ `aws:executeAwsApi`- Rassemble l'ARN de l'ACL AWS WAF Web spécifiée dans le `WebACLId` paramètre.
+ `aws:executeAwsApi`- Active la journalisation pour l'ACL Web.
+ `aws:assertAwsResourceProperty`- Vérifie que la journalisation a été activée sur l'ACL AWS WAF Web.
# `AWSConfigRemediation-EnableWAFClassicRegionalLogging`
**Description**
Le `AWSConfigRemediation-EnableWAFClassicRegionalLogging` runbook permet de se connecter à Amazon Data Firehose (Firehose) pour la liste de contrôle d'accès Web ( AWS WAF ACL) que vous spécifiez.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableWAFClassicRegionalLogging)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ LogDestinationConfigs
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du flux de diffusion Firehose auquel vous souhaitez envoyer des journaux.
+ Web ACLId
Type : Chaîne
Description : (Obligatoire) L'ID de l'ACL AWS WAF Web à laquelle vous souhaitez activer la connexion.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `iam:CreateServiceLinkedRole`
+ `waf-regional:GetLoggingConfiguration`
+ `waf-regional:GetWebAcl `
+ `waf-regional:PutLoggingConfiguration `
**Étapes de document**
+ `aws:executeAwsApi`- Rassemble l'ARN de l'ACL AWS WAF Web spécifiée dans le `WebACLId` paramètre.
+ `aws:executeAwsApi`- Active la journalisation pour l'ACL Web.
+ `aws:assertAwsResourceProperty`- Vérifie que la journalisation a été activée sur l'ACL AWS WAF Web.
# `AWSConfigRemediation-EnableWAFV2Logging`
**Description**
Le `AWSConfigRemediation-EnableWAFV2Logging` runbook permet de consigner une liste de contrôle d'accès Web AWS WAF (ACL Web) (AWS WAF V2) avec le flux de diffusion Amazon Data Firehose (Firehose) spécifié.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableWAFV2Logging)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ LogDestinationConfigs
Type : Chaîne
Description : (Obligatoire) L'ARN du flux de diffusion Firehose que vous souhaitez associer à l'ACL Web.
**Note**
L'ARN du flux de diffusion Firehose doit commencer par le préfixe. `aws-waf-logs-` Par exemple, `aws-waf-logs-us-east-2-analytics`. Pour plus d'informations, consultez [Amazon Data Firehose](https://docs.aws.amazon.com/waf/latest/developerguide/logging-kinesis.html).
+ WebAclArn
Type : Chaîne
Description : ARN (obligatoire) de l'ACL Web pour laquelle la journalisation sera activée.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `firehose:DescribeDeliveryStream`
+ `wafv2:PutLoggingConfiguration`
+ `wafv2:GetLoggingConfiguration`
**Étapes de document**
+ `aws:executeScript`- Active la journalisation pour l'ACL Web AWS WAF V2 et vérifie que la journalisation a la configuration spécifiée.
# Amazon WorkSpaces
AWS Systems Manager Automation fournit des runbooks prédéfinis pour Amazon WorkSpaces. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-CreateWorkSpace`](aws-create-workspace.md)
+ [`AWSSupport-RecoverWorkSpace`](automation-awssupport-recover-workspace.md)
# `AWS-CreateWorkSpace`
**Description**
Le `AWS-CreateWorkSpace` runbook crée un nouveau bureau WorkSpaces virtuel Amazon, appelé a WorkSpace, sur la base des valeurs que vous spécifiez pour les paramètres d'entrée. Pour plus d'informations WorkSpaces, consultez [Qu'est-ce qu'Amazon WorkSpaces ?](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces.html) dans le *guide d' WorkSpaces administration Amazon*.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CreateWorkspace)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ BundleId
Type : Chaîne
Description : (Obligatoire) L'ID du bundle à utiliser pour WorkSpace.
+ ComputeTypeName
Type : Chaîne
Valeurs valides : VALEUR \$1 STANDARD \$1 PERFORMANCE \$1 PUISSANCE \$1 GRAPHISMES \$1 POWERPRO \$1 GRAPHICSPRO
Description : (Facultatif) Type de calcul pour votre WorkSpace.
+ DirectoryId
Type : Chaîne
Description : (Obligatoire) L'ID du répertoire auquel vous souhaitez WorkSpace ajouter votre nom.
+ RootVolumeEncryptionEnabled
Type : Boolean
Valeurs valides : true \$1 false
Valeur par défaut : false
Description : (Facultatif) Détermine si le volume racine du WorkSpace est chiffré.
+ RootVolumeSizeGib
Type : Integer
Description : (Obligatoire) Taille du volume racine du WorkSpace.
+ RunningMode
Type : Chaîne
Valeurs valides : ALWAYS\$1ON \$1 AUTO\$1STOP
Description : (Obligatoire) Le mode de fonctionnement du WorkSpace.
+ RunningModeAutoStopTimeoutInMinutes
Type : Integer
Description : (Facultatif) Temps écoulé entre la fermeture de session d'un utilisateur et son WorkSpaces arrêt. Spécifiez une valeur par intervalles de 60 minutes.
+ Étiquettes
Type : Chaîne
Description : (Facultatif) Balises que vous souhaitez appliquer au WorkSpace.
+ UserName
Type : Chaîne
Description : (Obligatoire) Le nom d'utilisateur à associer au WorkSpace.
+ UserVolumeEncryptionEnabled
Type : Boolean
Valeurs valides : true \$1 false
Valeur par défaut : false
Description : (Facultatif) Détermine si le volume utilisateur du WorkSpace est chiffré.
+ UserVolumeSizeGib
Type : Integer
Description : (Obligatoire) Taille du volume utilisateur pour le WorkSpace.
+ VolumeEncryptionKey
Type : Chaîne
Description : (Facultatif) La AWS Key Management Service clé symétrique que vous souhaitez utiliser pour chiffrer les données stockées sur votre. WorkSpace
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `workspaces:CreateWorkspaces`
+ `workspaces:DescribeWorkspaces`
**Étapes de document**
+ `aws:executeScript`- Crée un WorkSpace en fonction des valeurs que vous spécifiez pour les paramètres d'entrée.
+ `aws:waitForAwsResourceProperty`- Vérifie l'état du système d'exploitation WorkSpace . `AVAILABLE`
**Sorties**
`CreateWorkspace.WorkspaceId`
# `AWSSupport-RecoverWorkSpace`
**Description**
Le `AWSSupport-RecoverWorkSpace` runbook exécute les étapes de restauration sur le bureau WorkSpaces virtuel Amazon, connu sous le nom de WorkSpace, que vous spécifiez. Le runbook redémarre le WorkSpace, et si l'état est toujours le cas`UNHEALTHY`, le restaure ou le reconstruit en WorkSpace fonction des valeurs que vous spécifiez pour les paramètres d'entrée. Avant d'utiliser ce runbook, nous vous recommandons de consulter le *guide d' WorkSpaces administration Amazon* consacré [ WorkSpaces aux problèmes de résolution](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-troubleshooting.html) des problèmes.
**Important**
La restauration ou la reconstruction d'un WorkSpace est une action potentiellement destructrice qui peut entraîner la perte de données. Cela est dû au fait que les WorkSpace données sont restaurées à partir du dernier instantané disponible et que les données récupérées à partir des instantanés peuvent dater de 12 heures.
L'option de restauration recrée à la fois le volume racine et le volume utilisateur en fonction des instantanés les plus récents. L'option de reconstruction recrée le volume utilisateur à partir de l'instantané le plus récent et le recrée WorkSpace à partir de l'image associée au bundle à partir duquel WorkSpace il a été créé. Les applications installées ou les paramètres système modifiés après leur WorkSpace création sont perdus. Pour plus d'informations sur la restauration et la reconstruction WorkSpaces, consultez [Restore a WorkSpace](https://docs.aws.amazon.com/workspaces/latest/adminguide/restore-workspace.html) et [Rebuild a WorkSpace](https://docs.aws.amazon.com/workspaces/latest/adminguide/rebuild-workspace.html) dans le *Guide d' WorkSpaces administration Amazon*.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-RecoverWorkSpace)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
+ Reconnaître
Type : Chaîne
Valeurs valides : Oui
Description : (Obligatoire) Si vous entrez Oui, vous comprenez que les actions de restauration et de reconstruction tenteront de récupérer les données à WorkSpace partir de l'instantané le plus récent et que les données restaurées à partir de ces instantanés peuvent dater de 12 heures seulement.
+ Redémarrer
Type : Chaîne
Valeurs valides : Oui \$1 Non
Par défaut : Oui
Description : (Obligatoire) Détermine si le WorkSpace est redémarré.
+ Reconstruire
Type : Chaîne
Valeurs valides : Oui \$1 Non
Par défaut : Non
Description : (Obligatoire) Détermine si le WorkSpace est reconstruit.
+ Restaurer
Type : Chaîne
Valeurs valides : Oui \$1 Non
Par défaut : Non
Description : (Obligatoire) Détermine si le WorkSpace est restauré.
+ WorkspaceId
Type : Chaîne
Description : (Obligatoire) L'ID du WorkSpace fichier que vous souhaitez récupérer.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `workspaces:DescribeWorkspaces`
+ `workspaces:DescribeWorkspaceSnapshots`
+ `workspaces:RebootWorkspaces`
+ `workspaces:RebuildWorkspaces`
+ `workspaces:RestoreWorkspace`
+ `workspaces:StartWorkspaces`
**Étapes de document**
+ `aws:executeAwsApi`- Rassemble l'état de ce WorkSpace que vous spécifiez dans le `WorkspaceId` paramètre.
+ `aws:assertAwsResourceProperty`- Vérifie l'état du WorkSpace is`AVAILABLE`,`ERROR`, `IMPAIRED``STOPPED`, ou`UNHEALTHY`.
+ `aws:branch`- Branches basées sur l'état du WorkSpace.
+ `aws:executeAwsApi`- Démarre le WorkSpace.
+ `aws:branch`- Branches basées sur la valeur que vous spécifiez pour le `Action` paramètre.
+ `aws:waitForAwsResourceProperty`- Attend le WorkSpace statut après avoir démarré.
+ `aws:waitForAwsResourceProperty`- Attend que l' WorkSpace état passe à `AVAILABLE` `ERROR``IMPAIRED`, ou `UNHEALTHY` après avoir été démarré.
+ `aws:executeAwsApi`- Recueille l'état de la machine WorkSpace après le démarrage.
+ `aws:branch`- Branches basées sur l'état de la WorkSpace machine après le démarrage.
+ `aws:executeAwsApi`- Rassemble les instantanés disponibles pour restaurer ou reconstruire le. WorkSpace
+ `aws:branch`- Branches basées sur la valeur que vous spécifiez pour le `Reboot` paramètre.
+ `aws:executeAwsApi`- Redémarre le. WorkSpace
+ `aws:executeAwsApi`- Recueille l'état de la machine WorkSpace après le démarrage.
+ `aws:waitForAwsResourceProperty`- Attend que l'état du WorkSpace passe à`REBOOTING`.
+ `aws:waitForAwsResourceProperty`- Attend que l' WorkSpace état passe à `AVAILABLE``ERROR`, ou `UNHEALTHY` après avoir été redémarré.
+ `aws:executeAwsApi`- Recueille l'état du WorkSpace après le redémarrage.
+ `aws:branch`- Branches basées sur l'état du WorkSpace après le redémarrage.
+ `aws:branch`- Branches basées sur la valeur que vous spécifiez pour le `Restore` paramètre.
+ `aws:executeAwsApi`- Restaure le WorkSpace. Si la restauration échoue, le runbook essaie de reconstruire le WorkSpace.
+ `aws:waitForAwsResourceProperty`- Attend que l'état du WorkSpace passe à`RESTORING`.
+ `aws:waitForAwsResourceProperty`- Attend que l' WorkSpace état passe à `AVAILABLE``ERROR`, ou `UNHEALTHY` après avoir été restauré.
+ `aws:executeAwsApi`- Rassemble l'état de l' WorkSpace objet restauré.
+ `aws:branch`- Branches basées sur l'état de l' WorkSpace après restauration.
+ `aws:branch`- Branches basées sur la valeur que vous spécifiez pour le `Rebuild` paramètre.
+ `aws:executeAwsApi`- Reconstruit le. WorkSpace
+ `aws:waitForAwsResourceProperty`- Attend que l'état du WorkSpace passe à`REBUILDING`.
+ `aws:waitForAwsResourceProperty`- Attend que l' WorkSpace État change ou `UNHEALTHY` après avoir été reconstruit. `AVAILABLE` `ERROR`
+ `aws:executeAwsApi`- Rassemble l'état de l' WorkSpace après sa reconstruction.
+ `aws:assertAwsResourceProperty`- Confirme l'état du WorkSpace si`AVAILABLE`.
# X-Ray
AWS Systems Manager L'automatisation fournit des runbooks prédéfinis pour AWS X-Ray. Pour plus d’informations sur les runbooks, consultez [Travailler avec des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Pour plus d'informations sur l'affichage du contenu du runbook, consultez[Afficher le contenu du runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSConfigRemediation-UpdateXRayKMSKey`](automation-aws-update-xray-key.md)
# `AWSConfigRemediation-UpdateXRayKMSKey`
**Description**
Le `AWSConfigRemediation-UpdateXRayKMSKey` runbook permet de chiffrer vos AWS X-Ray données à l'aide d'une clé AWS Key Management Service (AWS KMS). Ce runbook ne doit être utilisé que comme référence pour garantir que vos AWS X-Ray données sont cryptées conformément aux meilleures pratiques de sécurité minimales recommandées. Nous recommandons de chiffrer plusieurs ensembles de données avec différentes clés KMS.
[Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-UpdateXRayKMSKey)
**Type de document**
Automatisation
**Propriétaire**
Amazon
**Plateformes**
LinuxmacOS, Windows
**Paramètres**
+ AutomationAssumeRole
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom.
+ KeyId
Type : Chaîne
Description : (Obligatoire) Le nom de ressource Amazon (ARN), l'ID de clé ou l'alias de clé KMS que vous AWS X-Ray souhaitez utiliser pour chiffrer les données.
**Autorisations IAM requises**
Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `kms:DescribeKey`
+ `xray:GetEncryptionConfig`
+ `xray:PutEncryptionConfig`
**Étapes de document**
+ `aws:executeAwsApi`- Active le chiffrement de vos données X-Ray à l'aide de la clé KMS que vous spécifiez dans le `KeyId` paramètre.
+ `aws:waitForAwsResourceProperty`- Attend que l'état de la configuration de chiffrement de votre X-Ray soit `ACTIVE` atteint.
+ `aws:executeAwsApi`- Rassemble l'ARN de la clé que vous spécifiez dans le `KeyId` paramètre.
+ `aws:assertAwsResourceProperty`- Vérifie que le chiffrement a été activé sur votre X-Ray.