As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Lambda
AWS Systems Manager A automação fornece runbooks predefinidos para. AWS Lambda Para obter informações sobre como usar runbooks, consulte [Trabalhado com runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Para obter informações sobre como visualizar o conteúdo do runbook, consulte [Exibir conteúdo do runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSConfigRemediation-ConfigureLambdaFunctionXRayTracing`](automation-aws-config-lambda-xray.md)
+ [`AWSConfigRemediation-DeleteLambdaFunction`](automation-aws-delete-lambda.md)
+ [`AWSConfigRemediation-EncryptLambdaEnvironmentVariablesWithCMK`](automation-aws-encrypt-lambda-variables.md)
+ [`AWSConfigRemediation-MoveLambdaToVPC`](automation-aws-lambda-to-vpc.md)
+ [`AWSSupport-RemediateLambdaS3Event`](automation-awssupport-remediatelambdas3event.md)
+ [`AWSSupport-TroubleshootLambdaInternetAccess`](AWSSupport-TroubleshootLambdaInternetAccess.md)
+ [`AWSSupport-TroubleshootLambdaS3Event`](automation-aws-troubleshootlambdas3event.md)
# `AWSConfigRemediation-ConfigureLambdaFunctionXRayTracing`
**Descrição**
O `AWSConfigRemediation-ConfigureLambdaFunctionXRayTracing` runbook permite o rastreamento AWS X-Ray ao vivo na AWS Lambda função que você especifica no `FunctionName` parâmetro.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-ConfigureLambdaFunctionXRayTracing)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: string
Descrição: (obrigatório) O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome.
+ FunctionName
Tipo: string
Descrição: (obrigatório) O nome ou ARN da função do Lambda para ativar o rastreamento.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `lambda:UpdateFunctionConfiguration`
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
**Etapas do documento**
+ `aws:executeAwsApi` :Ativa o rastreamento de raio-X na função do Lambda especificada no parâmetro `FunctionName`.
+ `aws:assertAwsResourceProperty` :Verifica se o rastreamento de X-Ray foi ativado na função do Lambda.
**Saídas**
UpdateLambdaConfig. UpdateFunctionConfigurationResponse - Resposta da chamada `UpdateFunctionConfiguration` da API.
# `AWSConfigRemediation-DeleteLambdaFunction`
**Descrição**
O runbook `AWSConfigRemediation-DeleteLambdaFunction` exclui a função AWS Lambda especificada.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteLambdaFunction)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: string
Descrição: (obrigatório) O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome.
+ LambdaFunctionName
Tipo: string
Descrição: (obrigatório) O nome da função do Lambda a ser excluída.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `lambda:DeleteFunction`
+ `lambda:GetFunction`
**Etapas do documento**
+ `aws:executeAwsApi` :Exclui a função do Lambda especificada no parâmetro `LambdaFunctionName`.
+ `aws:executeScript` :Verifica se a função do Lambda foi excluída.
# `AWSConfigRemediation-EncryptLambdaEnvironmentVariablesWithCMK`
**Descrição**
O `AWSConfigRemediation-EncryptLambdaEnvironmentVariablesWithCMK` runbook criptografa, em repouso, as variáveis de ambiente para a função ( AWS Lambda Lambda) que você especifica usando uma chave gerenciada pelo cliente AWS Key Management Service (AWS KMS). Esse runbook só deve ser usado como uma linha de base para garantir que as variáveis de ambiente da sua função do Lambda sejam criptografadas de acordo com as melhores práticas de segurança mínimas recomendadas. Recomendamos criptografar várias funções com diferentes chaves gerenciadas pelo cliente.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EncryptLambdaEnvironmentVariablesWithCMK)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: string
Descrição: (obrigatório) O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome.
+ FunctionName
Tipo: string
Descrição: (obrigatório) O nome ou ARN da função do Lambda cujas variáveis de ambiente serão criptografadas.
+ KMSKeyArn
Tipo: string
Descrição: (Obrigatório) O ARN da chave gerenciada pelo AWS KMS cliente que você deseja usar para criptografar as variáveis de ambiente da função Lambda.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `lambda:GetFunctionConfiguration `
+ `lambda:UpdateFunctionConfiguration`
**Etapas do documento**
+ `aws:waitForAwsResourceProperty` :Espera que a propriedade `LastUpdateStatus` fique `Successful`.
+ `aws:executeAwsApi`- Criptografa as variáveis de ambiente da função Lambda que você especifica `FunctionName` no parâmetro usando AWS KMS a chave gerenciada pelo cliente especificada no `KMSKeyArn` parâmetro.
+ `aws:assertAwsResourceProperty` :Confirma que a criptografia está habilitada nas variáveis de ambiente da sua função do Lambda.
# `AWSConfigRemediation-MoveLambdaToVPC`
**Descrição**
O runbook `AWSConfigRemediation-MoveLambdaToVPC` move uma função AWS Lambda do (Lambda) para uma Amazon Virtual Private Cloud (Amazon VPC).
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-MoveLambdaToVPC)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: string
Descrição: (obrigatório) O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome.
+ FunctionName
Tipo: string
Descrição: (obrigatório) O nome da função do Lambda a ser movida para uma Amazon VPC.
+ SecurityGroupIds
Tipo: string
Descrição: (Obrigatório) O grupo de segurança que IDs você deseja atribuir às interfaces de rede elástica (ENIs) associadas à sua função Lambda.
+ SubnetIds
Tipo: string
Descrição: (Obrigatório) A sub-rede na qual IDs você deseja criar as interfaces de rede elástica (ENIs) associadas à sua função Lambda.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `lambda:GetFunction`
+ `lambda:GetFunctionConfiguration`
+ `lambda:UpdateFunctionConfiguration`
**Etapas do documento**
+ `aws:executeAwsApi` :Atualiza a configuração da Amazon VPC para a função do Lambda especificada no parâmetro `FunctionName`.
+ `aws:waitForAwsResourceProperty` :Espera que a função do Lambda `LastUpdateStatus` seja `successful`.
+ `aws:executeScript` :Verifica se a configuração da função do Lambda da Amazon VPC foi atualizada com sucesso.
# `AWSSupport-RemediateLambdaS3Event`
**Descrição**
O `AWSSupport-TroubleshootLambdaS3Event` runbook fornece uma solução automatizada para os procedimentos descritos nos artigos do AWS Knowledge Center [Por que minha notificação de eventos do Amazon S3 não aciona minha função Lambda?](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-configure-s3-event-notification/) e [Por que recebo o erro “Não é possível validar as seguintes configurações de destino” ao criar uma notificação de evento do Amazon S3 para acionar minha](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-invoke-error-s3-bucket-permission/) função Lambda? Esse runbook ajuda você a identificar e corrigir o motivo pelo qual uma notificação de evento do Amazon Simple Storage Service (Amazon S3) falhou em acionar a função especificada. AWS Lambda Se a saída do runbook sugerir a validação e a configuração da simultaneidade da função do Lambda, consulte [Invocação assíncrona](https://docs.aws.amazon.com/lambda/latest/dg/invocation-async.html) e [escalabilidade de funções do AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/scaling.html).
**nota**
O erro “Não foi possível validar as seguintes configurações de destino” também podem ocorrer devido a configurações incorretas de eventos do Amazon Simple Notification Service (Amazon SNS) e do Amazon Simple Queue Service (Amazon SQS) do Amazon S3. Esse runbook verifica somente as configurações da função do Lambda. Se, depois de usar o runbook, você ainda estiver recebendo o erro “Não foi possível validar as seguintes configurações de destino”, revise todas as configurações de eventos existentes do Amazon SNS e do Amazon SQS Amazon S3.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-RemediateLambdaS3Event)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: String
Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ LambdaFunctionArn
Tipo: string
Descrição: (obrigatório) O ARN da função do Lambda.
+ S3 BucketName
Tipo: string
Descrição: (obrigatório) O nome do bucket do Amazon S3 cujas notificações de eventos acionam a função do Lambda.
+ Ação
Tipo: string
Valores válidos: Troubleshoot \$1 Remediate
Descrição: (obrigatório) As operações que você deseja que o runbook execute. A opção `Troubleshoot` ajuda a identificar qualquer problema, mas não executa nenhuma ação de mutação para resolver o problema. A opção `Remediate` ajuda a identificar e tenta resolver problemas para você.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ssm:StartAutomationExecution`
+ `ssm:GetDocument`
+ `ssm:ListDocuments`
+ `ssm:DescribeAutomationExecutions`
+ `ssm:DescribeAutomationStepExecutions`
+ `ssm:GetAutomationExecution`
+ `lambda:GetPolicy`
+ `lambda:AddPermission`
+ `s3:GetBucketNotification`
**Etapas do documento**
+ `aws:branch` :Ramifica com base na entrada especificada para o parâmetro `Action`.
Se o valor especificado for `Troubleshoot`:
+ `aws:executeAutomation` :Executa o runbook `AWSSupport-TroubleshootLambdaS3Event`.
+ `aws:executeAwsApi` :Verifica a saída do runbook `AWSSupport-TroubleshootLambdaS3Event` executado na etapa anterior.
Se o valor especificado for `Remediate`:
+ `aws:executeScript` :Executa um script para corrigir os problemas descritos na seção [Por que minha notificação de eventos do Amazon S3 não aciona minha função do Lambda?](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-configure-s3-event-notification/) e [Por que recebo o erro “Não foi possível validar as seguintes configurações de destino” ao criar uma notificação de evento do Amazon S3 para acionar minha função do Lambda?](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-invoke-error-s3-bucket-permission/) Artigos do Centro de Conhecimentos.
**Saídas**
checkoutput.Output
remediatelambdas3event.Output
# `AWSSupport-TroubleshootLambdaInternetAccess`
**Descrição**
O `AWSSupport-TroubleshootLambdaInternetAccess` runbook ajuda você a solucionar problemas de acesso à Internet para uma AWS Lambda função que foi lançada na Amazon Virtual Private Cloud (Amazon VPC). Recursos como rotas de sub-rede, regras de grupos de segurança e regras de lista de controle de acesso (ACL) à rede são revisados para confirmar se o acesso de saída à Internet é permitido.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootLambdaInternetAccess)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: String
Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ FunctionName
Tipo: string
Descrição: (obrigatório) O nome da função do Lambda para a qual deseja solucionar problemas de acesso à Internet.
+ destinationIp
Tipo: string
Descrição: (obrigatório) O endereço IP de destino com o qual deseja estabelecer uma conexão de saída.
+ destinationPort
Tipo: string
Padrão: 443
Descrição: (opcional) A porta de destino com o qual deseja estabelecer uma conexão de saída.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `lambda:GetFunction`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeNatGateways`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeNetworkAcls`
**Etapas do documento**
+ `aws:executeScript` :Verifica a configuração de vários recursos na VPC onde a função do Lambda foi lançada.
+ `aws:branch` :Ramifica com base no fato de a função do Lambda especificada estar em uma VPC ou não.
+ `aws:executeScript` :Analisa as rotas da tabela de rotas da sub-rede em que a função do Lambda foi iniciada e verifica se as rotas para um gateway de conversão de endereços de rede (NAT) e um gateway da internet estão presentes. Confirma que a função do Lambda não está em uma sub-rede pública.
+ `aws:executeScript` :Verifica se o grupo de segurança associado à função do Lambda permite acesso externo à Internet com base nos valores especificados para os parâmetros `destinationIp` e `destinationPort`.
+ `aws:executeScript` :Verifica se as regras da ACL associadas às sub-redes da função do Lambda e o gateway NAT permitem acesso externo à Internet com base nos valores especificados para os parâmetros `destinationIp` e `destinationPort`.
**Saídas**
checkVpc.vpc :o ID da VPC em que a função do Lambda foi lançada.
CheckVPC.subnet - A IDs das sub-redes em que sua função Lambda foi lançada.
checkVpc.securityGroups :grupos de segurança associados à função do Lambda.
checkNACL.NACL :Mensagem de análise com nomes de recursos. `LambdaIp` refere-se ao endereço IP privado da interface de rede elástica para a função do Lambda. O objeto `LambdaIpRules` é gerado somente para sub-redes que têm uma rota para um gateway NAT. O conteúdo a seguir é um exemplo de saída.
```
{
"subnet-1234567890":{
"NACL":"acl-1234567890",
"destinationIp_Egress":"Allowed",
"destinationIp_Ingress":"notAllowed",
"Analysis":"This NACL has an allow rule for Egress traffic but there is no Ingress rule. Please allow the destination IP / destionation port in Ingress rule",
"LambdaIpRules":{
"{LambdaIp}":{
"Egress":"notAllowed",
"Ingress":"notAllowed",
"Analysis":"This is a NAT subnet NACL. It does not have ingress or egress rule allowed in it for Lambda's corresponding private ip {LambdaIp} Please allow this IP in your egress and ingress NACL rules"
}
}
},
"subnet-0987654321":{
"NACL":"acl-0987654321",
"destinationIp_Egress":"Allowed",
"destinationIp_Ingress":"notAllowed",
"Analysis":"This NACL has an allow rule for Egress traffic but there is no Ingress rule. Please allow the destination IP / destionation port in Ingress rule"
}
}
```
checkSecurityGroups.secgrps - Análise do grupo de segurança associado à sua função Lambda. O conteúdo a seguir é um exemplo de saída.
```
{
"sg-123456789":{
"Status":"Allowed",
"Analysis":"This security group has allowed destintion IP and port in its outbuond rule."
}
}
```
checkSubnet.subnets :Análise das sub-redes na VPC associadas à função do Lambda. O conteúdo a seguir é um exemplo de saída.
```
{
"subnet-0c4ee6cdexample15":{
"Route":{
"DestinationCidrBlock":"8.8.8.0/26",
"NatGatewayId":"nat-00f0example69fdec",
"Origin":"CreateRoute",
"State":"active"
},
"Analysis":"This Route Table has an active NAT gateway path. Also, The NAT gateway is launched in public subnet",
"RouteTable":"rtb-0b1fexample16961b"
}
}
```
# `AWSSupport-TroubleshootLambdaS3Event`
**Descrição**
O `AWSSupport-TroubleshootLambdaS3Event` runbook fornece uma solução automatizada para os procedimentos descritos nos artigos do AWS Knowledge Center [Por que minha notificação de eventos do Amazon S3 não aciona minha função Lambda?](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-configure-s3-event-notification/) e [Por que recebo o erro “Não é possível validar as seguintes configurações de destino” ao criar uma notificação de evento do Amazon S3 para acionar minha](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-invoke-error-s3-bucket-permission/) função Lambda? Esse runbook ajuda você a identificar por que uma notificação de evento do Amazon Simple Storage Service (Amazon S3) falhou em acionar a função especificada. AWS Lambda Se a saída do runbook sugerir a validação e a configuração da simultaneidade da função do Lambda, consulte [Invocação assíncrona](https://docs.aws.amazon.com/lambda/latest/dg/invocation-async.html) e [escalabilidade de funções do AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/scaling.html).
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootLambdaS3Event)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: String
Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ LambdaFunctionArn
Tipo: string
Descrição: (obrigatório) O ARN da função do Lambda que a notificação de eventos do Amazon S3 aciona.
+ S3 BucketName
Tipo: string
Descrição: (obrigatório) O nome do bucket do Amazon S3 cujas notificações de eventos acionam a função do Lambda.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `lambda:GetPolicy`
+ `s3:GetBucketNotification`
**Etapas do documento**
+ `aws:executeScript` :Executa o script para validar as definições de configuração da notificação de eventos do Amazon S3. Valida a política do IAM baseada em recursos para sua função Lambda e gera um comando AWS Command Line Interface (AWS CLI) para adicionar as permissões necessárias se as permissões necessárias estiverem ausentes da política. Valida outras políticas de recursos de funções Lambda que fazem parte das notificações de eventos para o mesmo bucket do S3 e gera AWS CLI um comando como saída se as permissões necessárias estiverem ausentes.
**Saídas**
lambdaS3Event.output