Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # `AWSSupport-TroubleshootLambdaInternetAccess` **Descrizione** Il `AWSSupport-TroubleshootLambdaInternetAccess` runbook ti aiuta a risolvere i problemi di accesso a Internet per una AWS Lambda funzione che è stata lanciata in Amazon Virtual Private Cloud (Amazon VPC). Risorse come i percorsi di sottorete, le regole dei gruppi di sicurezza e le regole della lista di controllo degli accessi alla rete (ACL) vengono esaminate per confermare che l'accesso a Internet in uscita è consentito. [Esegui questa automazione (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootLambdaInternetAccess) **Tipo di documento** Automazione **Proprietario** Amazon **Piattaforme** LinuxmacOS, Windows **Parametri** + AutomationAssumeRole Tipo: String Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook. + FunctionName Tipo: String Descrizione: (Obbligatorio) Il nome della funzione Lambda per la quale desideri risolvere i problemi di accesso a Internet. + destinationIp Tipo: String Descrizione: (Obbligatorio) L'indirizzo IP di destinazione a cui desideri stabilire una connessione in uscita. + destinationPort Tipo: String Impostazione predefinita: 443 Descrizione: (Facoltativo) La porta di destinazione su cui si desidera stabilire una connessione in uscita. **Autorizzazioni IAM richieste** Il `AutomationAssumeRole` parametro richiede le seguenti azioni per utilizzare correttamente il runbook. + `lambda:GetFunction` + `ec2:DescribeRouteTables` + `ec2:DescribeNatGateways` + `ec2:DescribeSecurityGroups` + `ec2:DescribeNetworkAcls` **Fasi del documento** + `aws:executeScript`- Verifica la configurazione di varie risorse nel tuo VPC in cui è stata lanciata la funzione Lambda. + `aws:branch`- Rami in base al fatto che la funzione Lambda specificata si trovi o meno in un VPC. + `aws:executeScript`- Esamina le route della tabella di routing per la sottorete in cui è stata lanciata la funzione Lambda e verifica che siano presenti le route verso un gateway NAT (Network Address Translation) e un gateway Internet. Conferma che la funzione Lambda non si trova in una sottorete pubblica. + `aws:executeScript`- Verifica che il gruppo di sicurezza associato alla funzione Lambda consenta l'accesso a Internet in uscita in base ai valori specificati per `destinationIp` i parametri and. `destinationPort` + `aws:executeScript`- Verifica che le regole ACL associate alle sottoreti della funzione Lambda e il gateway NAT consentano l'accesso a Internet in uscita in base ai valori specificati per i parametri and. `destinationIp` `destinationPort` **Output** check Vpc.vpc - L'ID del VPC su cui è stata lanciata la funzione Lambda. check Vpc.subnet - Gli ID delle sottoreti in cui è stata lanciata la funzione Lambda. check Vpc.securityGroups - Gruppi di sicurezza associati alla funzione Lambda. check NACL.NACL - Messaggio di analisi con i nomi delle risorse. `LambdaIp`si riferisce all'indirizzo IP privato dell'interfaccia elastic network per la funzione Lambda. L'`LambdaIpRules`oggetto viene generato solo per le sottoreti che hanno un percorso verso un gateway NAT. Il seguente contenuto è un esempio di output. ``` { "subnet-1234567890":{ "NACL":"acl-1234567890", "destinationIp_Egress":"Allowed", "destinationIp_Ingress":"notAllowed", "Analysis":"This NACL has an allow rule for Egress traffic but there is no Ingress rule. Please allow the destination IP / destionation port in Ingress rule", "LambdaIpRules":{ "{LambdaIp}":{ "Egress":"notAllowed", "Ingress":"notAllowed", "Analysis":"This is a NAT subnet NACL. It does not have ingress or egress rule allowed in it for Lambda's corresponding private ip {LambdaIp} Please allow this IP in your egress and ingress NACL rules" } } }, "subnet-0987654321":{ "NACL":"acl-0987654321", "destinationIp_Egress":"Allowed", "destinationIp_Ingress":"notAllowed", "Analysis":"This NACL has an allow rule for Egress traffic but there is no Ingress rule. Please allow the destination IP / destionation port in Ingress rule" } } ``` check SecurityGroups.secgrps - Analisi per il gruppo di sicurezza associato alla funzione Lambda. Il seguente contenuto è un esempio dell'output. ``` { "sg-123456789":{ "Status":"Allowed", "Analysis":"This security group has allowed destintion IP and port in its outbuond rule." } } ``` check Subnet.subnets - Analisi delle sottoreti nel VPC associate alla funzione Lambda. Il seguente contenuto è un esempio dell'output. ``` { "subnet-0c4ee6cdexample15":{ "Route":{ "DestinationCidrBlock":"8.8.8.0/26", "NatGatewayId":"nat-00f0example69fdec", "Origin":"CreateRoute", "State":"active" }, "Analysis":"This Route Table has an active NAT gateway path. Also, The NAT gateway is launched in public subnet", "RouteTable":"rtb-0b1fexample16961b" } } ```