翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Managed Workflows for Apache Airflow
<a name="automation-ref-mwaa"></a>

 AWS Systems Manager Automation は、Amazon Managed Workflows for Apache Airflow 用に事前定義されたランブックを提供します。詳細については、「[ランブックの使用](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html)」を参照してください。ランブックコンテンツを表示する方法については、[ランブックの内容を表示する](automation-runbook-reference.md#view-automation-json) を参照してください。

**Topics**
+ [`AWSSupport-TroubleshootMWAAEnvironmentCreation`](automation-troubleshoot-mwaa-environment-creation.md)

# `AWSSupport-TroubleshootMWAAEnvironmentCreation`
<a name="automation-troubleshoot-mwaa-environment-creation"></a>

 **説明** 

 `AWSSupport-TroubleshootMWAAEnvironmentCreation` ランブックには、Amazon Managed Workflows for Apache Airflow (Amazon MWAA) 環境作成の問題をデバッグし、障害の特定に役立つよう、文書化された理由とともにチェックを実行するための情報が記載されています。

 **動作の仕組み** 

 ランブックは次のステップを実行します。
+ Amazon MWAA 環境の詳細を取得します。
+ 実行ロールのアクセス許可を検証します。
+ 指定された AWS KMS キーをログ記録に使用するアクセス許可が環境にあるかどうか、および必要な CloudWatch ロググループが存在するかどうかを確認します。
+ 提供されたロググループのログを解析して、エラーを見つけます。
+ ネットワーク設定をチェックして、Amazon MWAA 環境が必要なエンドポイントにアクセスできるかどうかを確認します。
+ 検出結果を含むレポートを生成します。

 [このオートメーションを実行する (コンソール)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootMWAAEnvironmentCreation) 

**ドキュメントタイプ**

オートメーション

**[所有者]**

Amazon

**[Platforms]** (プラットフォーム)

/

**必要な IAM アクセス許可**

`AutomationAssumeRole` パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。
+ `airflow:GetEnvironment`
+ `cloudtrail:LookupEvents`
+ `ec2:DescribeNatGateways`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcEndpoints`
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:GetRolePolicy`
+ `iam:ListAttachedRolePolicies`
+ `iam:ListRolePolicies`
+ `iam:SimulateCustomPolicy`
+ `kms:GetKeyPolicy`
+ `kms:ListAliases`
+ `logs:DescribeLogGroups`
+ `logs:FilterLogEvents`
+ `s3:GetBucketAcl`
+ `s3:GetBucketPolicyStatus`
+ `s3:GetPublicAccessBlock`
+ `s3control:GetPublicAccessBlock`
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`

 **指示** 

次の手順に従って自動化を設定します。

1. ドキュメントの Systems Manager [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootMWAAEnvironmentCreation/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootMWAAEnvironmentCreation/description)で に移動します。

1. [Execute automation] (オートメーションを実行) を選択します。

1. 入力パラメータには、次のように入力します。
   + **AutomationAssumeRole（オプション):**

     Systems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)。ロールが指定されていない場合、Systems Manager Automation は、このランブックを開始するユーザーのアクセス許可を使用します。
   + **EnvironmentName (必須):**

     評価する Amazon MWAA 環境の名前。  
![\[Input parameters form with AutomationAssumeRole and EnvironmentName fields for AWS Systems Manager Automation.\]](http://docs.aws.amazon.com/ja_jp/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-mwaa-environment-creation_input_parameters.png)

1. [実行] を選択します。

1. 自動化が開始されます。

1. ドキュメントは以下のステップを実行します。
   + **`GetMWAAEnvironmentDetails:`**

     Amazon MWAA 環境の詳細を取得します。このステップが失敗すると、自動化プロセスは停止し、 として表示されます`Failed`。
   + **`CheckIAMPermissionsOnExecutionRole:`**

     実行ロールに Amazon MWAA、Amazon S3、CloudWatch Logs、CloudWatch、Amazon SQS リソースに必要なアクセス許可があることを確認します。カスタマーマネージド AWS Key Management Service (AWS KMS) キーを検出すると、オートメーションはキーに必要なアクセス許可を検証します。このステップでは、 `iam:SimulateCustomPolicy` API を使用して、オートメーション実行ロールがすべての必要なアクセス許可を満たしているかどうかを確認します。
   + **`CheckKMSPolicyOnKMSKey:`**

      AWS KMS キーポリシーで、Amazon MWAA 環境が CloudWatch Logs の暗号化に キーを使用することを許可されているかどうかを確認します。 AWS KMS キーが AWS管理されている場合、オートメーションはこのチェックをスキップします。
   + **`CheckIfRequiredLogGroupsExists:`**

     Amazon MWAA 環境に必要な CloudWatch ロググループが存在するかどうかを確認します。そうでない場合、自動化は CloudTrail で `CreateLogGroup` および `DeleteLogGroup`イベントをチェックします。このステップでは、`CreateLogGroup`イベントもチェックします。
   + **`BranchOnLogGroupsFindings:`**

     Amazon MWAA 環境に関連する CloudWatch ロググループの存在に基づいて分岐します。少なくとも 1 つのロググループが存在する場合、オートメーションはそれを解析してエラーを見つけます。ロググループが存在しない場合、オートメーションは次のステップをスキップします。
   + **`CheckForErrorsInLogGroups:`**

     CloudWatch ロググループを解析してエラーを見つけます。
   + **`GetRequiredEndPointsDetails:`**

     Amazon MWAA 環境で使用されるサービスエンドポイントを取得します。
   + **`CheckNetworkConfiguration:`**

     Amazon MWAA 環境のネットワーク設定が、セキュリティグループ、ネットワーク ACLs、サブネット、ルートテーブル設定のチェックを含む要件を満たしていることを確認します。
   + **`CheckEndpointsConnectivity:`**

     `AWSSupport-ConnectivityTroubleshooter` 子オートメーションを呼び出して、必要なエンドポイントへの Amazon MWAA の接続を検証します。
   + **`CheckS3BlockPublicAccess:`**

     Amazon MWAA 環境の Amazon S3 バケット`Block Public Access`が有効になっているかどうかを確認し、アカウントの全体的な Amazon S3 パブリックアクセスブロック設定も確認します。
   + **`GenerateReport:`**

     自動化から情報を収集し、各ステップの結果または出力を出力します。

1. 完了したら、出力セクションで実行の詳細な結果を確認します。
   + **Amazon MWAA 環境実行ロールのアクセス許可の確認:**

     実行ロールに Amazon MWAA、Amazon S3、CloudWatch Logs、CloudWatch、Amazon SQS リソースに必要なアクセス許可があるかどうかを検証します。カスタマーマネージド AWS KMS キーが検出されると、オートメーションはキーに必要なアクセス許可を検証します。
   + **Amazon MWAA 環境 AWS KMS キーポリシーの確認:**

     実行ロールに Amazon MWAA、Amazon S3、CloudWatch Logs、CloudWatch、Amazon SQS リソースに必要なアクセス許可があるかどうかを検証します。さらに、カスタマーマネージド AWS KMS キーが検出されると、オートメーションはキーに必要なアクセス許可をチェックします。
   + **Amazon MWAA 環境の CloudWatch ロググループの確認:**

     Amazon MWAA 環境に必要な CloudWatch Log Groups が存在するかどうかを確認します。そうでない場合、自動化は CloudTrail をチェックして イベント`CreateLogGroup`と `DeleteLogGroup`イベントを見つけます。
   + **Amazon MWAA 環境のルートテーブルの確認:**

     Amazon MWAA 環境の Amazon VPC ルートテーブルが正しく設定されているかどうかを確認します。
   + **Amazon MWAA 環境のセキュリティグループの確認:**

     Amazon MWAA 環境の Amazon VPC セキュリティグループが正しく設定されているかどうかを確認します。
   + **Amazon MWAA 環境のネットワーク ACLs の確認:**

     Amazon MWAA 環境の Amazon VPC セキュリティグループが正しく設定されているかどうかを確認します。
   + **Amazon MWAA 環境サブネットの確認:**

     Amazon MWAA 環境のサブネットがプライベートであるかどうかを検証します。
   + **Amazon MWAA 環境に必要なエンドポイント接続の確認:**

     Amazon MWAA 環境が必要なエンドポイントにアクセスできるかどうかを確認します。この目的のために、オートメーションは`AWSSupport-ConnectivityTroubleshooter`オートメーションを呼び出します。
   + **Amazon MWAA 環境の Amazon S3 バケットの確認:**

     Amazon MWAA 環境の Amazon S3 バケット`Block Public Access`が有効になっているかどうかを確認し、アカウントの Amazon S3 パブリックアクセスブロック設定も確認します。
   + **Amazon MWAA 環境の CloudWatch ログのグループエラーの確認:**

     Amazon MWAA 環境の既存の CloudWatch ロググループを解析してエラーを見つけます。  
![\[Troubleshooting report for MMAA environment showing successful checks and connectivity tests.\]](http://docs.aws.amazon.com/ja_jp/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-mwaa-environment-creation_outputs.png)

 **リファレンス** 

Systems Manager Automation
+ [このオートメーションを実行する (コンソール)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootMWAAEnvironmentCreation/description)
+ [オートメーションを実行する](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [オートメーションの設定](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [「自動化ワークフローをサポート」ランディングページ](https://aws.amazon.com/premiumsupport/technology/saw/)