As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # `AWSSupport-TroubleshootLambdaInternetAccess` **Descrição** O `AWSSupport-TroubleshootLambdaInternetAccess` runbook ajuda você a solucionar problemas de acesso à Internet para uma AWS Lambda função que foi lançada na Amazon Virtual Private Cloud (Amazon VPC). Recursos como rotas de sub-rede, regras de grupos de segurança e regras de lista de controle de acesso (ACL) à rede são revisados para confirmar se o acesso de saída à Internet é permitido. [Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootLambdaInternetAccess) **Tipo de documento** Automação **Proprietário** Amazon **Plataformas** Linux, macOS, Windows **Parâmetros** + AutomationAssumeRole Tipo: String Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook. + FunctionName Tipo: string Descrição: (obrigatório) O nome da função do Lambda para a qual deseja solucionar problemas de acesso à Internet. + destinationIp Tipo: string Descrição: (obrigatório) O endereço IP de destino com o qual deseja estabelecer uma conexão de saída. + destinationPort Tipo: string Padrão: 443 Descrição: (opcional) A porta de destino com o qual deseja estabelecer uma conexão de saída. **Permissões obrigatórias do IAM** O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito. + `lambda:GetFunction` + `ec2:DescribeRouteTables` + `ec2:DescribeNatGateways` + `ec2:DescribeSecurityGroups` + `ec2:DescribeNetworkAcls` **Etapas do documento** + `aws:executeScript` :Verifica a configuração de vários recursos na VPC onde a função do Lambda foi lançada. + `aws:branch` :Ramifica com base no fato de a função do Lambda especificada estar em uma VPC ou não. + `aws:executeScript` :Analisa as rotas da tabela de rotas da sub-rede em que a função do Lambda foi iniciada e verifica se as rotas para um gateway de conversão de endereços de rede (NAT) e um gateway da internet estão presentes. Confirma que a função do Lambda não está em uma sub-rede pública. + `aws:executeScript` :Verifica se o grupo de segurança associado à função do Lambda permite acesso externo à Internet com base nos valores especificados para os parâmetros `destinationIp` e `destinationPort`. + `aws:executeScript` :Verifica se as regras da ACL associadas às sub-redes da função do Lambda e o gateway NAT permitem acesso externo à Internet com base nos valores especificados para os parâmetros `destinationIp` e `destinationPort`. **Saídas** checkVpc.vpc :o ID da VPC em que a função do Lambda foi lançada. CheckVPC.subnet - A IDs das sub-redes em que sua função Lambda foi lançada. checkVpc.securityGroups :grupos de segurança associados à função do Lambda. checkNACL.NACL :Mensagem de análise com nomes de recursos. `LambdaIp` refere-se ao endereço IP privado da interface de rede elástica para a função do Lambda. O objeto `LambdaIpRules` é gerado somente para sub-redes que têm uma rota para um gateway NAT. O conteúdo a seguir é um exemplo de saída. ``` { "subnet-1234567890":{ "NACL":"acl-1234567890", "destinationIp_Egress":"Allowed", "destinationIp_Ingress":"notAllowed", "Analysis":"This NACL has an allow rule for Egress traffic but there is no Ingress rule. Please allow the destination IP / destionation port in Ingress rule", "LambdaIpRules":{ "{LambdaIp}":{ "Egress":"notAllowed", "Ingress":"notAllowed", "Analysis":"This is a NAT subnet NACL. It does not have ingress or egress rule allowed in it for Lambda's corresponding private ip {LambdaIp} Please allow this IP in your egress and ingress NACL rules" } } }, "subnet-0987654321":{ "NACL":"acl-0987654321", "destinationIp_Egress":"Allowed", "destinationIp_Ingress":"notAllowed", "Analysis":"This NACL has an allow rule for Egress traffic but there is no Ingress rule. Please allow the destination IP / destionation port in Ingress rule" } } ``` checkSecurityGroups.secgrps - Análise do grupo de segurança associado à sua função Lambda. O conteúdo a seguir é um exemplo de saída. ``` { "sg-123456789":{ "Status":"Allowed", "Analysis":"This security group has allowed destintion IP and port in its outbuond rule." } } ``` checkSubnet.subnets :Análise das sub-redes na VPC associadas à função do Lambda. O conteúdo a seguir é um exemplo de saída. ``` { "subnet-0c4ee6cdexample15":{ "Route":{ "DestinationCidrBlock":"8.8.8.0/26", "NatGatewayId":"nat-00f0example69fdec", "Origin":"CreateRoute", "State":"active" }, "Analysis":"This Route Table has an active NAT gateway path. Also, The NAT gateway is launched in public subnet", "RouteTable":"rtb-0b1fexample16961b" } } ```