As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Amazon VPC
AWS Systems Manager A automação fornece runbooks predefinidos para a Amazon Virtual Private Cloud. Para obter informações sobre como usar runbooks, consulte [Trabalhado com runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Para obter informações sobre como visualizar o conteúdo do runbook, consulte [Exibir conteúdo do runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-CloseSecurityGroup`](close-security-group.md)
+ [`AWSSupport-ConfigureDNSQueryLogging`](automation-aws-configure-dns-query-logging.md)
+ [`AWSSupport-ConfigureTrafficMirroring`](automation-aws-configuretrafficmirroring.md)
+ [`AWSSupport-ConnectivityTroubleshooter`](automation-awssupport-connectivitytroubleshooter.md)
+ [`AWSSupport-TroubleshootVPN`](automation-aws-troubleshoot-vpn.md)
+ [`AWSConfigRemediation-DeleteEgressOnlyInternetGateway`](automation-aws-delete-egress-igw.md)
+ [`AWSConfigRemediation-DeleteUnusedENI`](automation-aws-delete-eni.md)
+ [`AWSConfigRemediation-DeleteUnusedSecurityGroup`](automation-aws-delete-ec2-security-group.md)
+ [`AWSConfigRemediation-DeleteUnusedVPCNetworkACL`](automation-aws-delete-vpc-nacl.md)
+ [`AWSConfigRemediation-DeleteVPCFlowLog`](automation-aws-delete-vpc-flow-log.md)
+ [`AWSConfigRemediation-DetachAndDeleteInternetGateway`](automation-aws-detach-delete-igw.md)
+ [`AWSConfigRemediation-DetachAndDeleteVirtualPrivateGateway`](automation-aws-detach-delete-vpg.md)
+ [`AWS-DisableIncomingSSHOnPort22`](disable-incoming-ssh.md)
+ [`AWS-DisablePublicAccessForSecurityGroup`](automation-aws-disablepublicaccessforsecuritygroup.md)
+ [`AWSConfigRemediation-DisableSubnetAutoAssignPublicIP`](automation-aws-disable-subnet-auto-public-ip.md)
+ [`AWSSupport-EnableVPCFlowLogs`](automation-aws-enable-vpc-flowlogs.md)
+ [`AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch`](automation-aws-enable-flow-logs-cw.md)
+ [`AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket`](automation-aws-enable-flow-logs-s3.md)
+ [`AWS-ReleaseElasticIP`](automation-aws-releaseelasticip.md)
+ [`AWS-RemoveNetworkACLUnrestrictedSSHRDP`](aws-remove-nacl-unrestricted-ssh-rdp.md)
+ [`AWSConfigRemediation-RemoveUnrestrictedSourceIngressRules`](automation-aws-remove-unrestricted-source-ingress.md)
+ [`AWSConfigRemediation-RemoveVPCDefaultSecurityGroupRules`](automation-aws-remove-default-secg-rules.md)
+ [`AWSSupport-SetupIPMonitoringFromVPC`](automation-awssupport-setupipmonitoringfromvpc.md)
+ [`AWSSupport-TerminateIPMonitoringFromVPC`](automation-awssupport-terminateipmonitoringfromvpc.md)
# `AWS-CloseSecurityGroup`
**Descrição**
Esse runbook remove todas as regras de entrada e saída do grupo de segurança especificado.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CloseSecurityGroup)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: String
Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ SecurityGroupId
Tipo: string
Descrição: (Obrigatório) O ID do grupo de segurança que você deseja fechar.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ec2:DescribeSecurityGroups`
+ `ec2:RevokeSecurityGroupEgress`
+ `ec2:RevokeSecurityGroupIngress`
**Etapas do documento**
+ `aws:executeScript`- Remove todas as regras de entrada e saída do grupo de segurança especificado no `SecurityGroupId` parâmetro.
# `AWSSupport-ConfigureDNSQueryLogging`
**Descrição**
O runbook `AWSSupport-ConfigureDNSQueryLogging` configura o registro em log para consultas ao DNS que se originam em sua nuvem privada virtual (VPC) ou em zonas hospedadas do Amazon Route 53. Você pode optar por publicar registros de consulta no Amazon CloudWatch Logs, no Amazon Simple Storage Service (Amazon S3) ou no Amazon Data Firehose. Para obter mais informações sobre logs de consultas e logs de consultas do resolvedor, consulte [log público de consultas ao DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html) e [log de consultas do resolvedor](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html).
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ConfigureDNSQueryLogging)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: String
Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ LogDestinationArn
Tipo: string
Descrição: (Opcional) O ARN do grupo CloudWatch Logs, bucket do Amazon S3 ou stream do Firehose para o qual você deseja enviar registros de consulta. Observe que o registro de consultas DNS públicas do Route 53 só oferece suporte a grupos de CloudWatch registros. Se você não especificar um valor para esse parâmetro, a automação cria um grupo de CloudWatch registros com o formato ` AWSSupport-ConfigureDNSQueryLogging-{automation: EXECUTION_ID } ` e uma política de recursos do IAM para publicar os registros de consulta. O grupo de CloudWatch registros criado pela automação tem um período de retenção de 14 dias.
+ QueryLogType
Tipo: string
Descrição: (opcional) Os tipos de consultas que deseja fazer o log.
Valores válidos: Public \$1 Resolver/Private
Padrão: Public
+ ResourceId
Tipo: string
Descrição: (obrigatório) O ID do recurso cujas consultas deseja fazer o log. Se `Public` for especificado para o parâmetro `QueryLogType`, o recurso deverá ser o ID de uma zona hospedada privada do Route 53. Se você especificar `Resolver/Private` para o parâmetro `QueryLogType`, o recurso deverá ser o ID de uma VPC.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ec2:DescribeVpcs`
+ `firehose:ListTagsForDeliveryStream`
+ `firehose:PutRecord`
+ `firehose:PutRecordBatch`
+ `firehose:TagDeliveryStream`
+ `iam:AttachRolePolicy`
+ `iam:CreatePolicy`
+ `iam:CreateRole`
+ `iam:CreateServiceLinkedRole`
+ `iam:DeletePolicy`
+ `iam:DeleteRole`
+ `iam:DeleteRolePolicy`
+ `iam:GetPolicy`
+ `iam:GetRole`
+ `iam:PassRole`
+ `iam:PutRolePolicy`
+ `iam:TagRole`
+ `iam:UpdateRole`
+ `logs:CreateLogDelivery`
+ `logs:CreateLogGroup`
+ `logs:DeleteLogDelivery`
+ `logs:DeleteLogGroup`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `logs:DescribeResourcePolicies`
+ `logs:ListLogDeliveries`
+ `logs:PutResourcePolicy`
+ `logs:PutRetentionPolicy`
+ `logs:UpdateLogDelivery`
+ `route53:CreateQueryLoggingConfig`
+ `route53:DeleteQueryLoggingConfig`
+ `route53:GetHostedZone`
+ `route53resolver:AssociateResolverQueryLogConfig`
+ `route53resolver:CreateResolverQueryLogConfig`
+ `route53resolver:DeleteResolverQueryLogConfig`
+ `s3:GetBucketAcl`
**Etapas do documento**
+ `aws:executeScript` :Verifica se o recurso especificado para o parâmetro `ResourceId` existe e se o tipo de recurso corresponde à opção `QueryLogType` obrigatória.
+ `aws:executeScript` :Verifica se o valor especificado para o parâmetro `LogDestinationArn` corresponde ao `QueryLogType` obrigatório.
+ `aws:executeScript`- Verifica as permissões necessárias para o Route 53 publicar registros no grupo de CloudWatch registros de registros e cria a política de recursos do IAM necessária, caso ela não exista.
+ `aws:executeScript` :Habilita o log de consultas ao DNS no destino selecionado.
# `AWSSupport-ConfigureTrafficMirroring`
**Descrição**
O runbook `AWSSupport-ConfigureTrafficMirroring` configura o espelhamento de tráfego para ajudar a solucionar problemas de conectividade entre um balanceador de carga e as instâncias do Amazon Elastic Compute Cloud (Amazon EC2). O espelhamento de tráfego copia o tráfego de entrada e saída das interfaces de rede anexadas às suas instâncias. Para configurar o espelhamento de tráfego, esse runbook cria os destinos, filtros e sessões obrigatórios. Por padrão, o runbook configura o espelhamento para todo o tráfego de entrada e saída de todos os protocolos, exceto o Amazon DNS. Se quiser espelhar o tráfego de origens e destinos específicos, você pode modificar as regras de entrada e saída depois da conclusão da automação.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ConfigureTrafficMirroring)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: string
Descrição: (obrigatório) O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome.
+ SourceENI
Tipo: string
Descrição: (obrigatório) A interface de rede elástica para a qual deseja configurar o espelhamento de tráfego.
+ Destino
Tipo: string
Descrição: (obrigatório) O destino do tráfego espelhado. Você deve especificar o ID de uma interface de rede, um Network Load Balancer ou um endpoint do balanceador de carga de gateway. Se um Network Load Balancer for especificado, deverá haver receptores UDP na porta 4789.
+ SessionNumber
Tipo: string
Valores válidos: 1 a 32766
Descrição: (obrigatório) O número de sessão do espelho que deseja usar.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ec2:CreateTrafficMirrorTarget`
+ `ec2:CreateTrafficMirrorFilter`
+ `ec2:CreateTrafficMirrorFilterRule`
+ `ec2:CreateTrafficMirrorSession`
+ `ec2:DeleteTrafficMirrorSession`
+ `ec2:DeleteTrafficMirrorFilter`
+ `ec2:DeleteTrafficMirrorSession`
+ `ec2:DeleteTrafficMirrorFilterRule`
+ `iam:ListRoles`
+ `ssm:GetAutomationExecution`
+ `ssm:StartAutomationExecution`
**Etapas do documento**
+ `aws:executeScript` :Executa um script para criar um destino.
+ `aws:executeAwsApi` :Cria uma regra de filtro.
+ `aws:executeAwsApi` :Cria uma regra de filtro do espelho para todo o tráfego de entrada.
+ `aws:executeAwsApi` :Cria uma regra de filtro do espelho para todo o tráfego de saída.
+ `aws:executeAwsApi` :Cria uma sessão do espelho de tráfego.
+ `aws:executeAwsApi` :Exclui o filtro se a criação do filtro ou da sessão falhar.
+ `aws:executeAwsApi` :Exclui o destino se a criação do filtro ou da sessão falhar.
**Saídas**
CreateFilter.FilterId
CreateSession.SessionId
CreateTarget.Alvo IDOutput
# `AWSSupport-ConnectivityTroubleshooter`
**Descrição**
O runbook `AWSSupport-ConnectivityTroubleshooter` diagnostica problemas de conectividade entre os seguintes:
+ AWS recursos em uma Amazon Virtual Private Cloud (Amazon VPC)
+ AWS recursos em diferentes Amazon VPCs dentro da mesma Região da AWS que estão conectados usando emparelhamento de VPC
+ AWS recursos em uma Amazon VPC e um recurso da Internet usando um gateway da Internet
+ AWS recursos em uma Amazon VPC e um recurso da Internet usando um gateway de tradução de endereços de rede (NAT)
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ConnectivityTroubleshooter)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: String
Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ DestinationIP
Tipo: string
Descrição: (Obrigatório) O IPv4 endereço do recurso ao qual você deseja se conectar.
+ DestinationPort
Tipo: string
Padrão: True
Descrição: (obrigatório) O número da porta à qual deseja se conectar no recurso de destino.
+ DestinationVpc
Tipo: string
Padrão: All
Descrição: (opcional) O ID da Amazon VPC com o qual deseja testar a conectividade.
+ SourceIP
Tipo: string
Descrição: (Obrigatório) O IPv4 endereço privado do AWS recurso em sua Amazon VPC a partir do qual você deseja testar a conectividade.
+ SourcePortRange
Tipo: string
Descrição: (Opcional) O intervalo de portas usado pelo AWS recurso em sua Amazon VPC a partir do qual você deseja testar a conectividade.
+ SourceVpc
Tipo: string
Padrão: All
Descrição: (opcional) O ID da Amazon VPC do qual deseja testar a conectividade.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ec2:DescribeNatGateways`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeVpcPeeringConnections`
**Etapas do documento**
+ `aws:executeScript`- Reúne detalhes sobre o AWS recurso que você especifica no `SourceIP` parâmetro.
+ `aws:executeScript`- Determina o destino do tráfego de rede do AWS recurso usando as rotas coletadas na etapa anterior.
+ `aws:branch` :Ramifica com base no destino do tráfego de rede.
+ `aws:executeAwsApi` :Reúne detalhes sobre o recurso de destino.
+ `aws:executeScript` :Confirma se o ID retornado para a Amazon VPC de destino corresponde ao valor especificado, se houver, no parâmetro `DestinationVpc`.
+ `aws:executeAwsApi` :Reúne as regras de grupo de segurança para os recursos de origem e destino.
+ `aws:executeScript` :Confirma se as regras de grupo de segurança permitem o tráfego necessário entre os recursos de origem e destino.
+ `aws:executeAwsApi`- Reúne as listas de controle de acesso à rede (NACLs) associadas às sub-redes para os recursos de origem e destino.
+ `aws:executeScript`- Confirma se eles NACLs permitem o tráfego necessário entre os recursos de origem e destino.
+ `aws:executeScript` :Confirma se a fonte tem um endereço IP público associado ao recurso, se o destino da rota for um gateway da internet.
+ `aws:executeAwsApi` :Reúne as regras de grupo de segurança para os recursos de origem.
+ `aws:executeScript` :Confirma se as regras de grupo de segurança permitem o tráfego necessário do recurso de origem para o destino.
+ `aws:executeAwsApi`- Reúne o NACLs associado à sub-rede para o recurso de origem.
+ `aws:executeScript`- Confirma se eles NACLs permitem o tráfego necessário do recurso de origem.
+ `aws:executeAwsApi` :Reúne detalhes sobre o gateway NAT.
+ `aws:executeAwsApi`- Reúne o NACLs associado à sub-rede do gateway NAT.
+ `aws:executeScript`- Confirma se eles NACLs permitem o tráfego necessário da sub-rede para o gateway NAT.
+ `aws:executeScript` :Reúne as rotas associadas à sub-rede para o gateway NAT.
+ `aws:executeScript` :Confirma se o gateway NAT tem uma rota para um gateway da Internet.
+ `aws:executeAwsApi` :Reúne detalhes sobre a conexão de emparelhamento da VPC.
+ `aws:executeScript`- Confirma que ambos VPCs estão na mesma região e que o ID retornado para a VPC de destino corresponde ao valor especificado, se houver, no `DestinationVpc` parâmetro.
+ `aws:executeAwsApi` :Retorna a sub-rede do recurso de destino.
+ `aws:executeScript` :Reúne as rotas associadas à sub-rede para a VPC emparelhada.
+ `aws:executeScript` :Confirma se a VPC emparelhada tem uma rota para a conexão de emparelhamento.
+ `aws:executeScript` :Confirma se o tráfego é permitido a partir do recurso de origem se o destino não for suportado pela automação.
# `AWSSupport-TroubleshootVPN`
**Descrição**
O `AWSSupport-TroubleshootVPN` runbook ajuda você a rastrear e resolver erros em uma AWS Site-to-Site VPN conexão. A automação inclui várias verificações automatizadas projetadas para rastrear `IKEv1` `IKEv2` erros relacionados aos túneis de AWS Site-to-Site VPN conexão. A automação tenta combinar erros específicos e sua resolução correspondente forma uma lista de problemas comuns.
**Observação:** esta automação não corrige os erros. Ele é executado no intervalo de tempo mencionado e verifica o grupo de registros em busca de erros no grupo de [ CloudWatch registros de VPN](https://docs.aws.amazon.com//vpn/latest/s2svpn/log-contents.html).
**Como funciona?**
O runbook executa uma validação de parâmetros para confirmar se o grupo de CloudWatch log da Amazon incluído no parâmetro de entrada existe, se há algum fluxo de log no grupo de log que corresponde ao registro de túneis VPN, se o ID de conexão VPN existe e se o endereço IP do túnel existe. Ele faz chamadas à API Logs Insights em seu grupo de CloudWatch registros que estão configuradas para registro de VPN.
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: String
Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ LogGroupName
Tipo: string
Descrição: (Obrigatório) O nome do grupo de CloudWatch log da Amazon configurado para registro de AWS Site-to-Site VPN conexão
Allowed-pattern: `^[\.\-_/#A-Za-z0-9]{1,512}`
+ VpnConnectionId
Tipo: string
Descrição: (Obrigatório) O ID de AWS Site-to-Site VPN conexão a ser solucionado.
Allowed-pattern: `^vpn-[0-9a-f]{8,17}$`
+ Túnel AIPAddress
Tipo: string
Descrição: (Obrigatório) O IPv4 endereço do túnel número 1 associado ao seu AWS Site-to-Site VPN.
Allowed-pattern: `^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}$`
+ Túnel BIPAddress
Tipo: string
Descrição: (Opcional) O IPv4 endereço do túnel número 2 associado ao seu AWS Site-to-Site VPN.
Allowed-pattern: `^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}|^$`
+ IKEVersion
Tipo: string
Descrição: (obrigatório) selecione a versão do IKE que você está usando. Valores permitidos: IKEv1, IKEv2
Valores válidos: `['IKEv1', 'IKEv2']`
+ StartTimeinEpoch
Tipo: string
Descrição: (opcional) horário de início da análise de logs. Você pode usar StartTimeinEpoch/EndTimeinEpoch ou LookBackPeriod para análise de registros
Allowed-pattern: `^\d{10}|^$`
+ EndTimeinEpoch
Tipo: string
Descrição: (opcional) horário de término da análise de logs. Você pode usar StartTimeinEpoch/EndTimeinEpoch ou LookBackPeriod para análise de registros. Se dado ambos StartTimeinEpoch/EndTimeinEpoch e, em LookBackPeriod seguida, LookBackPeriod tem precedência
Allowed-pattern: `^\d{10}|^$`
+ LookBackPeriod
Tipo: string
Descrição: (opcional) tempo de dois dígitos em horas para analisar o log. Intervalo válido: de 01 a 99 Esse valor tem precedência se você também fornecer StartTimeinEpoch e EndTime
Allowed-pattern: `^(\d?[1-9]|[1-9]0)|^$`
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `logs:DescribeLogGroups`
+ `logs:GetQueryResults`
+ `logs:DescribeLogStreams`
+ `logs:StartQuery`
+ `ec2:DescribeVpnConnections`
**Instruções**
**Observação:** essa automação funciona nos grupos de CloudWatch registros configurados para o registro de túneis VPN, quando o formato de saída do registro é JSON.
Siga estas etapas para configurar a automação:
1. Navegue até o [AWSSupport-TroubleshootVPN](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootVPN/description)no AWS Systems Manager console.
1. Você pode usar os seguintes parâmetros de entrada:
+ **AutomationAssumeRole (Opcional):**
O Amazon Resource Name (ARN) da função AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation execute as ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ **LogGroupName (Obrigatório):**
O nome do grupo de CloudWatch registros da Amazon a ser validado. Esse deve ser o grupo de CloudWatch registros configurado para o envio de registros pela VPN.
+ **VpnConnectionId (Obrigatório):**
O ID de AWS Site-to-Site VPN conexão cujo grupo de registros é rastreado em busca de erro de VPN.
+ **Túnel AIPAddress (obrigatório):**
O túnel Um endereço IP associado à sua AWS Site-to-Site VPN conexão.
+ **Túnel BIPAddress (opcional):**
O endereço IP do túnel B associado à sua AWS Site-to-Site VPN conexão.
+ **IKEVersion (Obrigatório):**
Selecione o que IKEversion você está usando. Valores permitidos: IKEv1, IKEv2.
+ **StartTimeinEpoch (Opcional):**
O início do intervalo de tempo a ser consultado em busca de erros. O intervalo é inclusivo, portanto, o horário de início especificado é incluído na consulta. Especificado como horário epoch, o número de segundos desde 1º de janeiro de 1970, 00:00:00 UTC.
+ **EndTimeinEpoch (Opcional):**
O final do intervalo de tempo a ser consultado em busca de erros. O intervalo é inclusivo, portanto, o horário final especificado é incluído na consulta. Especificado como horário epoch, o número de segundos desde 1º de janeiro de 1970, 00:00:00 UTC.
+ **LookBackPeriod (Obrigatório):**
Tempo em horas para analisar a consulta em busca de erros.
**Nota:** Configure um StartTimeinEpoch, EndTimeinEpoch, ou LookBackPeriod para fixar o intervalo de tempo para análise de log. Forneça um número de dois dígitos em horas para verificar se há erros no passado a partir do horário de início da automação. Ou, se o erro estiver no passado dentro de um intervalo de tempo específico, inclua StartTimeinEpoch e EndTimeinEpoch, em vez de LookBackPeriod.
![\[Input parameters form for AWS Site-to-Site VPN connection validation and log analysis.\]](http://docs.aws.amazon.com/pt_br/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-vpn_input_parameters.png)
1. Selecione **Executar**.
1. A automação é iniciada.
1. O runbook de automação realiza as seguintes etapas:
+ **parameterValidation:**
Executa uma série de validações nos parâmetros de entrada incluídos na automação.
+ **branchOnValidationOfLogGroup:**
Verifica se o grupo de logs mencionado no parâmetro é válido. Se inválido, ele interrompe o início adicional das etapas de automação.
+ **branchOnValidationOfLogStream:**
Verifica se o fluxo de log existe no grupo de CloudWatch log incluído. Se inválido, ele interrompe o início adicional das etapas de automação.
+ **branchOnValidationOfVpnConnectionId:**
Verifica se o ID de conexão VPN incluído no parâmetro é válido. Se inválido, ele interrompe o início adicional das etapas de automação.
+ **branchOnValidationOfVpnIp:**
Verifica se o endereço IP do túnel mencionado no parâmetro é válido ou não. Se inválido, ele interrompe a execução adicional das etapas de automação.
+ **traceError:**
Faz uma chamada à API Logs Insight em seu grupo de registros incluído CloudWatch e pesquisa o erro relacionado a IKEv1/IKEv2 junto com uma sugestão de resolução relacionada.
1. Depois de concluído, revise a seção Outputs para obter os resultados detalhados da execução.
![\[Output section showing parameter validation results and error messages for VPN tunnels.\]](http://docs.aws.amazon.com/pt_br/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-vpn_outputs.png)
**Referências**
Automação do Systems Manager
+ [Execute esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-DDoSResiliencyAssessment)
+ [Executar uma automação](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configurar a automação](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Página inicial dos fluxos de trabalho de automação](https://aws.amazon.com/premiumsupport/technology/saw/)
AWS documentação de serviço
+ [Conteúdo dos registros de Site-to-Site VPN](https://docs.aws.amazon.com//vpn/latest/s2svpn/log-contents.html)
# `AWSConfigRemediation-DeleteEgressOnlyInternetGateway`
**Descrição**
O runbook `AWSConfigRemediation-DeleteEgressOnlyInternetGateway` exclui o gateway da Internet somente de saída especificado.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteEgressOnlyInternetGateway)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: string
Descrição: (obrigatório) O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome.
+ EgressOnlyInternetGatewayId
Tipo: string
Descrição: (obrigatório) O ID do Gateway da Internet somente de saída que deseja excluir.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DeleteEgressOnlyInternetGateway`
+ `ec2:DescribeEgressOnlyInternetGateways`
**Etapas do documento**
+ `aws:executeScript` - Exclui o gateway da Internet de somente saída especificado no parâmetro `EgressOnlyInternetGatewayId`.
+ `aws:executeScript` :Verifica se o gateway da Internet somente de saída foi excluído.
# `AWSConfigRemediation-DeleteUnusedENI`
**Descrição**
O runbook `AWSConfigRemediation-DeleteUnusedENI` exclui uma interface de rede elástica (ENI) que tem o status de anexo como `detached`.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteUnusedENI)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: string
Descrição: (obrigatório) O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome.
+ NetworkInterfaceId
Tipo: string
Descrição: (obrigatório) O ID do ENI que você deseja excluir.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DeleteNetworkInterface`
+ `ec2:DescribeNetworkInterfaces `
**Etapas do documento**
+ `aws:executeAwsApi` :Exclui a ENI especificada no parâmetro de `NetworkInterfaceId`.
+ `aws:executeScript` - Verifica se o ENI foi excluído.
# `AWSConfigRemediation-DeleteUnusedSecurityGroup`
**Descrição**
O runbook `AWSConfigRemediation-DeleteUnusedSecurityGroup` exclui o grupo de segurança especificado no parâmetro `GroupId`. Se você tentar excluir um grupo de segurança associado a uma instância Amazon Elastic Compute Cloud (Amazon EC2) ou referenciado por outro grupo de segurança, ocorrerá uma falha na operação. Essa automação não exclui um grupo de segurança padrão.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteUnusedSecurityGroup)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: string
Descrição: (obrigatório) O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome.
+ GroupId
Tipo: string
Descrição: (obrigatório) O ID do grupo de segurança que deseja excluir.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DeleteSecurityGroup`
**Etapas do documento**
+ `aws:executeAwsApi` :Retorna o nome do grupo de segurança usando o valor fornecido no parâmetro `GroupId`.
+ `aws:branch` :Confirma que o nome do grupo não é “padrão”.
+ `aws:executeAwsApi` - O runbook exclui o grupo de segurança especificado no parâmetro `GroupId`.
+ `aws:executeScript` :Confirma que o grupo de segurança foi excluído.
# `AWSConfigRemediation-DeleteUnusedVPCNetworkACL`
**Descrição**
O runbook `AWSConfigRemediation-DeleteUnusedVPCNetworkACL` exclui uma lista de controle de acesso (ACL) de rede que não está associada a uma sub-rede.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteUnusedVPCNetworkACL)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: string
Descrição: (obrigatório) O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome.
+ NetworkAclId
Tipo: string
Descrição: (obrigatório) O ID da ACL de rede que deseja excluir.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DeleteNetworkAcl`
+ `ec2:DescribeNetworkAcls`
**Etapas do documento**
+ `aws:executeAwsApi` :Exclui a ACL de rede especificada no parâmetro `NetworkAclId`.
+ `aws:executeScript`: confirma a rede ACL de rede especificada no parâmetro `NetworkAclId`.
# `AWSConfigRemediation-DeleteVPCFlowLog`
**Descrição**
O runbook `AWSConfigRemediation-DeleteVPCFlowLog` exclui o log de fluxo da nuvem privada virtual (VPC) especificado.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteVPCFlowLog)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: string
Descrição: (obrigatório) O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome.
+ FlowLogId
Tipo: string
Descrição: (obrigatório) O ID do log do fluxo que você deseja reinicializar.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DeleteFlowLogs`
+ `ec2:DescribeFlowLogs`
**Etapas do documento**
+ `aws:executeAwsApi` :Exclui o log de fluxo especificado no parâmetro `FlowLogId`.
+ `aws:executeScript`- Verifica se o log de fluxo foi excluído.
# `AWSConfigRemediation-DetachAndDeleteInternetGateway`
**Descrição**
O runbook `AWSConfigRemediation-DetachAndDeleteInternetGateway` separa e exclui o gateway da internet especificado. Se alguma instância do Amazon EC2 em sua nuvem privada virtual (VPC) tiver endereços IP elásticos ou IPv4 endereços públicos associados a ela, o runbook falhará.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DetachAndDeleteInternetGateway)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: string
Descrição: (obrigatório) O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome.
+ InternetGatewayId
Tipo: string
Descrição: (obrigatório) O ID do gateway da Internet que deseja excluir.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DeleteInternetGateway`
+ `ec2:DescribeInternetGateways`
+ `ec2:DetachInternetGateway`
**Etapas do documento**
+ `aws:waitForAwsResourceProperty` :Aceita a ID do gateway privado virtual e espera até que a propriedade de estado do gateway privado virtual mude para `available` ou expire o tempo limite.
+ `aws:executeAwsApi` :Recupera uma configuração de gateway privado virtual especificada.
+ `aws:branch`- Ramificações com base no valor do VpcAttachments parâmetro.state.
+ `aws:waitForAwsResourceProperty`- Aceita a ID do gateway privado virtual e espera até que a VpcAttachments propriedade.state do gateway privado virtual mude para `attached` ou expire.
+ `aws:executeAwsApi` :Aceita o ID do gateway privado virtual e o ID da Amazon VPC como entrada e separa o gateway privado virtual da Amazon VPC.
+ `aws:waitForAwsResourceProperty`- Aceita a ID do gateway privado virtual e espera até que a VpcAttachments propriedade.state do gateway privado virtual mude para `detached` ou expire.
+ `aws:executeAwsApi` :Aceita o ID do gateway privado virtual como entrada e o exclui.
+ `aws:waitForAwsResourceProperty` :Aceita o ID do gateway privado virtual como entrada e verifica sua exclusão.
`aws:executeAwsApi` :Reúne a ID da VPC a partir da ID do gateway da Internet.
+ `aws:executeAwsApi` :Separa o ID do gateway da internet da VPC.
+ `aws:executeAwsApi` :Exclui o gateway da Internet.
# `AWSConfigRemediation-DetachAndDeleteVirtualPrivateGateway`
**Descrição**
O runbook `AWSConfigRemediation-DetachAndDeleteVirtualPrivateGateway` separa e exclui um determinado gateway privado virtual do Amazon Elastic Compute Cloud (Amazon EC2) anexada a uma nuvem privada virtual (VPC) criada com o Amazon Virtual Private Cloud (Amazon VPC).
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DetachAndDeleteVirtualPrivateGateway)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: string
Descrição: (obrigatório) O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome.
+ VpnGatewayId
Tipo: string
Descrição: (obrigatório) O ID do gateway privado virtual a ser excluído.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DeleteVpnGateway`
+ `ec2:DetachVpnGateway`
+ `ec2:DescribeVpnGateways`
**Etapas do documento**
+ `aws:waitForAwsResourceProperty` :Aceita a ID do gateway privado virtual e espera até que a propriedade de estado do gateway privado virtual mude para `available` ou expire o tempo limite.
+ `aws:executeAwsApi` :Recupera uma configuração de gateway privado virtual especificada.
+ `aws:branch`- Ramificações com base no valor do VpcAttachments parâmetro.state.
+ `aws:waitForAwsResourceProperty`- Aceita a ID do gateway privado virtual e espera até que a VpcAttachments propriedade.state do gateway privado virtual mude para `attached` ou expire.
+ `aws:executeAwsApi` :Aceita o ID do gateway privado virtual e o ID da Amazon VPC como entrada e separa o gateway privado virtual da Amazon VPC.
+ `aws:waitForAwsResourceProperty`- Aceita a ID do gateway privado virtual e espera até que a VpcAttachments propriedade.state do gateway privado virtual mude para `detached` ou expire.
+ `aws:executeAwsApi` :Aceita o ID do gateway privado virtual como entrada e o exclui.
+ `aws:waitForAwsResourceProperty` :Aceita o ID do gateway privado virtual como entrada e verifica sua exclusão.
# `AWS-DisableIncomingSSHOnPort22`
**Descrição**
O `AWS-DisableIncomingSSHOnPort22` runbook remove regras que permitem tráfego SSH de entrada irrestrito na porta TCP 22 para grupos de segurança.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-DisableIncomingSSHOnPort22)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: String
Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ SecurityGroupIds
Tipo: string
Descrição: (Obrigatório) Uma lista separada por vírgulas dos grupos IDs de segurança para os quais você deseja restringir o tráfego SSH.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ec2:DescribeSecurityGroups`
+ `ec2:RevokeSecurityGroupIngress`
**Etapas do documento**
+ `aws:executeAwsApi`- Remove todas as regras que permitem o tráfego SSH de entrada na porta TCP 22 dos grupos de segurança que você especifica no parâmetro. `SecurityGroupIds`
**Saídas**
DisableIncomingSSHTemplate. RestrictedSecurityGroupIds - Uma lista dos grupos IDs de segurança que tiveram as regras SSH de entrada removidas.
# `AWS-DisablePublicAccessForSecurityGroup`
**Descrição**
Esse runbook desabilita as portas SSH e RDP padrão que são abertas para todos os endereços IP.
**Importante**
Este runbook falha com um "InvalidPermission. NotFound"erro para grupos de segurança que atendem aos dois critérios a seguir: 1) O grupo de segurança está localizado em uma VPC não padrão; e 2) As regras de entrada do grupo de segurança não especificam portas abertas usando todos os quatro padrões a seguir:
`0.0.0.0/0`
`::/0`
`SSH or RDP port + 0.0.0.0/0`
`SSH or RDP port + ::/0`
**nota**
Este runbook não está disponível na Regiões da AWS China.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-DisablePublicAccessForSecurityGroup)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: String
Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ GroupId
Tipo: string
Descrição: (obrigatório) O ID do grupo de segurança para o qual as portas devem ser desabilitadas.
+ IpAddressToBlock
Tipo: string
Descrição: (Opcional) IPv4 Endereços adicionais dos quais o acesso deve ser bloqueado, no formato`1.2.3.4/32`.
# `AWSConfigRemediation-DisableSubnetAutoAssignPublicIP`
**Descrição**
O `AWSConfigRemediation-DisableSubnetAutoAssignPublicIP` runbook desativa o atributo de endereçamento IPv4 público para a sub-rede especificada.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DisableSubnetAutoAssignPublicIP)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: string
Descrição: (obrigatório) O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome.
+ SubnetId
Tipo: string
Descrição: (Obrigatório) O ID da sub-rede na qual você deseja desativar o atributo de IPv4 endereço público de atribuição automática.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DescribeSubnets`
+ `ec2:ModifySubnetAttribute`
**Etapas do documento**
+ `aws:executeAwsApi`- Desativa o atributo de IPv4 endereço público de atribuição automática para a sub-rede especificada no parâmetro. `SubnetId`
+ `aws:assertAwsResourceProperty` :Verifica se o atributo foi desabilitado.
# `AWSSupport-EnableVPCFlowLogs`
**Descrição**
O `AWSSupport-EnableVPCFlowLogs ` runbook cria registros de fluxo da Amazon Virtual Private Cloud (Amazon VPC) para sub-redes, interfaces de rede e no seu. VPCs Conta da AWS Se você criar um log de fluxo para uma sub-rede ou VPC, toda interface de rede na sub-rede ou Amazon VPC será monitorada. Os dados do log de fluxo são publicados no grupo de CloudWatch logs Amazon Logs ou no bucket do Amazon Simple Storage Service (Amazon S3) que você especificar. Para obter mais informações sobre logs de fluxo, consulte [Logs de fluxo ](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) no *Guia do usuário da Amazon VPC*.
**Importante**
As taxas de ingestão e arquivamento de dados para registros vendidos se aplicam quando você publica registros de fluxo no Logs ou no CloudWatch Amazon S3. Para obter mais informações, consulte [Precificação de logs de fluxo do ](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-pricing).
[Execute esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-EnableVPCFlowLogs)
**nota**
Ao selecionar `s3` como destino do log, certifique-se de que a política do bucket permita que o serviço de entrega de log acesse o bucket. Para obter mais informações, consulte [Permissões de bucket do Amazon S3 para registros de](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-s3.html#flow-logs-s3-permissions) fluxo
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: String
Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ DeliverLogsPermissionArn
Tipo: string
Descrição: (Opcional) O ARN para a função do IAM que permite que o Amazon Elastic Compute Cloud (Amazon EC2) publique registros de fluxo no grupo de registros de registros CloudWatch em sua conta. Se especificar `s3` para o parâmetro `LogDestinationType`, não forneça um valor para esse parâmetro. Para obter mais informações, consulte [Publicar registros de fluxo em CloudWatch registros](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-cwl.html) no Guia do *usuário da Amazon VPC*.
+ LogDestinationARN
Tipo: string
Descrição: (opcional) O ARN do recurso no qual os dados de log de fluxo são publicados. Se `cloud-watch-logs` for especificado para o `LogDestinationType` parâmetro, forneça o ARN do grupo de CloudWatch registros no qual você deseja publicar os dados do registro de fluxo. Como alternativa, use `LogGroupName`. Se `s3` for especificado para o parâmetro `LogDestinationType`, você deverá especificar o ARN do bucket do Amazon S3 no qual deseja publicar dados de log de fluxo para esse parâmetro. Você também pode especificar uma pasta no bucket.
**Importante**
Ao escolher `s3` como o, `LogDestinationType` você deve garantir que o bucket selecionado siga as [melhores práticas de segurança do Amazon S3 Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) e que você siga as leis de privacidade de dados da sua organização e região geográfica.
+ LogDestinationType
Tipo: string
Valores válidos: cloud-watch-logs \$1 s3
Descrição: (obrigatório) Determina onde os dados do log de fluxo são publicados. Se você especificar `LogDestinationType` como `s3`, não especifique `DeliverLogsPermissionArn` ou `LogGroupName`.
+ LogFormat
Tipo: string
Descrição: (opcional) os campos a serem incluídos no log de fluxo e a ordem na qual eles devem aparecer no registro. Para obter uma lista de campos disponíveis, consulte [Registros de logs de fluxo](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-log-records) no *Guia do usuário da Amazon VPC*. Se não fornecer um valor para esse parâmetro, o log de fluxo será criado usando o formato padrão. Se você especificar esse parâmetro, deverá especificar pelo menos um campo.
+ LogGroupName
Tipo: string
Descrição: (Opcional) O nome do grupo de registros de CloudWatch registros em que os dados do registro de fluxo são publicados. Se especificar `s3` para o parâmetro `LogDestinationType`, não forneça um valor para esse parâmetro.
+ ResourceIds
Tipo: StringList
Descrição: (Obrigatório) Uma lista separada por vírgulas das IDs sub-redes, interfaces de rede elástica ou VPC para as quais você deseja criar um log de fluxo.
+ TrafficType
Tipo: string
Valores válidos: ACCEPT \$1 REJECT \$1 ALL
Descrição: (obrigatório) O tipo de tráfego para o log. Você pode registrar em log o tráfego que o recurso aceita ou rejeita ou todo o tráfego.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:CreateFlowLogs`
+ `ec2:DeleteFlowLogs`
+ `ec2:DescribeFlowLogs`
+ `iam:AttachRolePolicy`
+ `iam:CreateRole`
+ `iam:CreatePolicy`
+ `iam:DeletePolicy`
+ `iam:DeleteRole`
+ `iam:DeleteRolePolicy`
+ `iam:GetPolicy`
+ `iam:GetRole`
+ `iam:TagRole`
+ `iam:PassRole`
+ `iam:PutRolePolicy`
+ `iam:UpdateRole`
+ `logs:CreateLogDelivery`
+ `logs:CreateLogGroup`
+ `logs:DeleteLogDelivery`
+ `logs:DeleteLogGroup`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `s3:GetBucketLocation`
+ `s3:GetBucketAcl`
+ `s3:GetBucketPublicAccessBlock`
+ `s3:GetBucketPolicyStatus`
+ `s3:GetBucketAcl`
+ `s3:ListBucket`
+ `s3:PutObject`
Política de amostra
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SSMExecutionPermissions",
"Effect": "Allow",
"Action": [
"ssm:StartAutomationExecution",
"ssm:GetAutomationExecution"
],
"Resource": "*"
},
{
"Sid": "EC2FlowLogsPermissions",
"Effect": "Allow",
"Action": [
"ec2:CreateFlowLogs",
"ec2:DeleteFlowLogs",
"ec2:DescribeFlowLogs"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/resource-id",
"arn:aws:ec2:us-east-1:111122223333:subnet/resource-id",
"arn:aws:ec2:us-east-1:111122223333:vpc/resource-id",
"arn:aws:ec2:us-east-1:111122223333:transit-gateway/resource-id",
"arn:aws:ec2:us-east-1:111122223333:transit-gateway-attachment/resource-id"
]
},
{
"Sid": "IAMCreateRolePermissions",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:CreatePolicy",
"iam:DeletePolicy",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:GetPolicy",
"iam:GetRole",
"iam:TagRole",
"iam:PassRole",
"iam:PutRolePolicy",
"iam:UpdateRole"
],
"Resource": [
"arn:aws:iam::111122223333:role/role-name",
"arn:aws:iam::111122223333:role/AWSSupportCreateFlowLogsRole"
]
},
{
"Sid": "CloudWatchLogsPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:DeleteLogDelivery",
"logs:DeleteLogGroup",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:log-group-name",
"arn:aws:logs:us-east-1:111122223333:log-group:log-group-name:*"
]
},
{
"Sid": "S3Permissions",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetBucketPublicAccessBlock",
"s3:GetAccountPublicAccessBlock",
"s3:GetBucketPolicyStatus",
"s3:GetBucketAcl",
"s3:ListBucket",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
**Etapas do documento**
+ `aws:branch` :Ramificações com base no valor especificado para o parâmetro `LogDestinationType`.
+ `aws:executeScript`- Verifica se o Amazon Simple Storage Service (Amazon S3) de destino potencialmente **concede** acesso de leitura **ou** `public` gravação a seus objetos.
+ `aws:executeScript` :Cria um grupo de logs se nenhum valor for especificado para o parâmetro `LogDestinationARN` e for especificado `cloud-watch-logs` para o parâmetro `LogDestinationType`.
+ `aws:executeScript` :Cria logs de fluxo com base nos valores especificados nos parâmetros do runbook.
# `AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch`
**Descrição**
O `AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch` runbook substitui um log de fluxo existente do Amazon VPC que publica dados do log de fluxo no Amazon Simple Storage Service (Amazon S3) por um log de fluxo que publica dados do log de fluxo no grupo de log Amazon CloudWatch Logs (Logs) que você especificar. CloudWatch
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: string
Descrição: (obrigatório) O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome.
+ DestinationLogGroup
Tipo: string
Descrição: (Obrigatório) O nome do grupo de CloudWatch registros de registros no qual você deseja publicar os dados do registro de fluxo.
+ DeliverLogsPermissionArn
Tipo: string
Descrição: (Obrigatório) O ARN da função AWS Identity and Access Management (IAM) que você deseja usar e que fornece ao Amazon Elastic Compute Cloud (Amazon EC2) as permissões necessárias para publicar dados de log de fluxo no Logs. CloudWatch
+ FlowLogId
Tipo: string
Descrição: (obrigatório) O ID do log de fluxo publicado no Amazon S3 que deseja substituir.
+ MaxAggregationInterval
Tipo: inteiro
Valores válidos: 60 \$1 600
Descrição: (opcional) o intervalo máximo de tempo, em segundos, durante o qual um fluxo de pacotes é capturado e agregado em um registro de log de fluxo.
+ TrafficType
Tipo: string
Valores válidos: ACCEPT \$1 REJECT \$1 ALL
Descrição: (obrigatório) O tipo de dados de log de fluxo que deseja registrar e publicar.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:CreateFlowLogs`
+ `ec2:DeleteFlowLogs`
+ `ec2:DescribeFlowLogs`
**Etapas do documento**
+ `aws:executeAwsApi` :Reúne detalhes sobre sua VPC a partir do valor especificado no parâmetro `FlowLogId`.
+ `aws:executeAwsApi` :Cria um log de fluxo com base nos valores que especificados para os parâmetros do runbook.
+ `aws:assertAwsResourceProperty`- Verifica se o registro de fluxo recém-criado é publicado no Logs. CloudWatch
+ `aws:executeAwsApi` :Exclui o log de fluxo para publicação no Amazon S3.
+ `aws:executeScript` :Confirma que o log de fluxo publicado no Amazon S3 foi excluído.
# `AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket`
**Descrição**
O `AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket` runbook *substitui* um log de fluxo existente da Amazon VPC que publica dados do log de fluxo no Amazon CloudWatch Logs (CloudWatch Logs) por um log de fluxo que publica dados do log de fluxo no bucket do Amazon Simple Storage Service (Amazon S3) que você especificar.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: string
Descrição: (obrigatório) O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome.
+ Destinos 3 BucketArn
Tipo: string
Descrição: (obrigatório) O ARN do bucket do Amazon S3 no qual deseja publicar dados de log de fluxo.
+ FlowLogId
Tipo: string
Descrição: (Obrigatório) O ID do registro de fluxo que é publicado nos CloudWatch registros que você deseja substituir.
+ MaxAggregationInterval
Tipo: inteiro
Valores válidos: 60 \$1 600
Descrição: (opcional) o intervalo máximo de tempo, em segundos, durante o qual um fluxo de pacotes é capturado e agregado em um registro de log de fluxo.
+ TrafficType
Tipo: string
Valores válidos: ACCEPT \$1 REJECT \$1 ALL
Descrição: (obrigatório) O tipo de dados de log de fluxo que deseja registrar e publicar.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:CreateFlowLogs`
+ `ec2:DeleteFlowLogs`
+ `ec2:DescribeFlowLogs`
**Etapas do documento**
+ `aws:executeAwsApi` :Reúne detalhes sobre sua VPC a partir do valor especificado no parâmetro `FlowLogId`.
+ `aws:executeAwsApi` :Cria um log de fluxo com base nos valores que especificados para os parâmetros do runbook.
+ `aws:assertAwsResourceProperty` - Verifica se o log de fluxo recém-criado é publicado no Amazon S3.
+ `aws:executeAwsApi`- Exclui o registro de fluxo que é publicado no Logs. CloudWatch
+ `aws:executeScript`- Confirma que o registro de fluxo publicado no CloudWatch Logs foi excluído.
# `AWS-ReleaseElasticIP`
**Descrição**
Libere o endereço IP elástico especificado usando o ID da alocação.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-ReleaseElasticIP)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: String
Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ AllocationId
Tipo: string
Descrição: (obrigatório) O ID de alocação do endereço IP elástico.
# `AWS-RemoveNetworkACLUnrestrictedSSHRDP`
**Descrição**
O `AWS-RemoveNetworkACLUnrestrictedSSHRDP` runbook remove todas as regras da lista de controle de acesso (ACL) de rede da ACL de rede especificada que permitem o tráfego de entrada de todos os endereços de origem para as portas SSH e RDP padrão. As regras que incluem intervalos de portas que se sobrepõem às portas SSH e RDP padrão não são removidas.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-RemoveNetworkACLUnrestrictedSSHRDP)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: String
Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ NetworkAclId
Tipo: string
Descrição: (Obrigatório) A ID da ACL de rede da qual você deseja remover regras irrestritas que permitem o tráfego de entrada de todos os endereços de origem para as portas SSH e RDP padrão.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DeleteNetworkAclEntry`
+ `ec2:DescribeNetworkAcls`
**Etapas do documento**
+ `aws:executeScript` :Remove todas as regras de entrada que permitem o tráfego de todos os endereços de origem do grupo de segurança especificado no parâmetro `SecurityGroupId`.
**Saídas**
RemoveNaclEntriesAndVerify. VerificationMessage - Mensagens de verificação das regras de ACL de rede excluídas com sucesso.
RemoveNaclEntriesAndVerify. RulesDeletedAndApiResponses - As regras de ACL de rede que foram excluídas e as respostas da operação `DeleteNetworkAclEntry` da API.
# `AWSConfigRemediation-RemoveUnrestrictedSourceIngressRules`
**Descrição**
O runbook `AWSConfigRemediation-RemoveUnrestrictedSourceIngressRules` remove todas as regras de entrada do grupo de segurança especificado que permitem o tráfego de todos os endereços de origem.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-RemoveUnrestrictedSourceIngressRules)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: string
Descrição: (obrigatório) O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome.
+ SecurityGroupId
Tipo: string
Descrição: (obrigatório) O ID do grupo de segurança do qual deseja remover as regras de entrada que permitem o tráfego de todos os endereços de origem.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DescribeSecurityGroups`
+ `ec2:RevokeSecurityGroupIngress`
**Etapas do documento**
+ `aws:executeScript` :Remove todas as regras de entrada que permitem o tráfego de todos os endereços de origem do grupo de segurança especificado no parâmetro `SecurityGroupId`.
# `AWSConfigRemediation-RemoveVPCDefaultSecurityGroupRules`
**Descrição**
O runbook `AWSConfigRemediation-RemoveVPCDefaultSecurityGroupRules` remove todas as regras do grupo de segurança padrão da nuvem privada virtual (VPC) especificada.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-RemoveVPCDefaultSecurityGroupRules)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: string
Descrição: (obrigatório) O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome.
+ GroupId
Tipo: string
Descrição: (obrigatório) O ID do grupo de segurança do qual deseja remover todas as regras.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DescribeSecurityGroups`
+ `ec2:RevokeSecurityGroupEgress`
+ `ec2:RevokeSecurityGroupIngress`
**Etapas do documento**
+ `aws:assertAwsResourceProperty` :Confirma que o grupo de segurança especificado no parâmetro `GroupId` tem o nome padrão.
+ `aws:executeScript`: remove todas as regras do grupo de segurança que você especificou no parâmetro `GroupId`.
# `AWSSupport-SetupIPMonitoringFromVPC`
**Descrição**
`AWSSupport-SetupIPMonitoringFromVPC`cria uma instância do Amazon Elastic Compute Cloud (Amazon EC2) na sub-rede especificada e monitora o IPs destino selecionado IPv4 ( IPv6ou) executando continuamente testes de ping, MTR, traceroute e tracetcp. Os resultados são armazenados nos CloudWatch registros do Amazon Logs e filtros métricos são aplicados para visualizar rapidamente as estatísticas de latência e perda de pacotes em um painel. CloudWatch
**Informações adicionais**
Os dados de CloudWatch registros podem ser usados para solucionar problemas de rede e analisar se a pattern/trends. Additionally, you can configure CloudWatch alarms with Amazon SNS notifications when packet loss and/or latência atinge um limite. Os dados também podem ser usados ao abrir um caso com AWS Support, para ajudar a isolar um problema rapidamente e reduzir o tempo de resolução ao investigar um problema de rede.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-SetupIPMonitoringFromVPC)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: String
Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ CloudWatchLogGroupNamePrefix
Tipo: string
Padrão: `/AWSSupport-SetupIPMonitoringFromVPC`
Descrição: (Opcional) Prefixo usado para cada grupo de CloudWatch registros criado para os resultados do teste.
+ CloudWatchLogGroupRetentionInDays
Tipo: string
Valores válidos: 1 \$1 3 \$1 5 \$1 7 \$1 14 \$1 30 \$1 60 \$1 90 \$1 120 \$1 150 \$1 180 \$1 365 \$1 400 \$1 545 \$1 731 \$1 1827 \$1 3653
Padrão: 7
Descrição: (Opcional) O número de dias que você deseja manter os resultados de monitoramento de rede.
+ InstanceType
Tipo: string
Valores válidos: t2.micro \$1 t2.small \$1 t2.medium \$1 t2.large \$1 t3.micro \$1 t3.small \$1 t3.medium \$1 t3.large \$1 t4g.micro \$1 t4g.small \$1 t4g.medium \$1 t4g.large
Padrão: t3.micro
Descrição: (Opcional) O tipo de instância EC2 para a instância EC2 Rescue. Tamanho recomendado: t3.micro.
+ SubnetId
Tipo: string
Descrição: (Obrigatório) O ID de sub-rede para a instância do monitor. Lembre-se de que, se você especificar uma sub-rede privada, deverá garantir que haja acesso à Internet para permitir que a instância do monitor configure o teste (ou seja, instale o agente CloudWatch Logs, interaja com o Systems Manager e CloudWatch).
+ Alvo IPs
Tipo: string
Descrição: (Obrigatório) Lista separada por vírgulas de IPv4s e/ou IPv6s para monitorar. Espaços não são permitidos. O tamanho máximo é de 255 caracteres. Lembre-se de que, se você fornecer um IP inválido, a automação falhará e reverterá a configuração de teste.
+ TestInstanceSecurityGroupId
Tipo: string
Descrição: (Opcional) O ID do grupo de segurança da instância de teste. Se não for especificada, a automação cria uma durante a criação da instância. Certifique-se de que o grupo de segurança permita acesso externo ao monitoramento IPs.
+ TestInstanceProfileName
Tipo: string
Descrição: (Opcional) O nome de um perfil de instância do IAM existente para a instância de teste. Se não for especificada, a automação cria uma durante a criação da instância. A função deve ter as seguintes permissões:`logs:CreateLogStream`,`logs:DescribeLogGroups`,`logs:DescribeLogStreams`, `logs:PutLogEvents` e a Política AWS Gerenciada`AmazonSSMManagedInstanceCore`.
+ TestInterval
Tipo: string
Descrição: (Opcional) O número de minutos entre os intervalos de teste. O valor padrão é `1` minuto e o máximo é `10` minutos.
+ RetainDashboardAndLogsOnDeletion
Tipo: string
Descrição: (Opcional) Especifique `False` a exclusão do CloudWatch painel e dos registros da Amazon ao excluir a AWS AWS CloudFormation pilha. O valor padrão é `True`. Por padrão, o painel e os registros são mantidos e precisarão ser excluídos manualmente quando não forem mais necessários.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
**Atenção**
É recomendável passar `TestInstanceProfileName` parâmetros ou garantir a existência de proteções de segurança para evitar o uso indevido de permissões mutáveis do IAM.
É recomendável que o usuário que executa a automação tenha a política gerenciada do **Amazon SSMAutomation Role** IAM anexada. Além disso, o usuário deve ter a política a seguir anexada à sua conta de usuário, grupo ou função:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:GetRole",
"iam:GetInstanceProfile",
"iam:DetachRolePolicy",
"iam:AttachRolePolicy",
"iam:PassRole",
"iam:AddRoleToInstanceProfile",
"iam:GetRolePolicy",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DeleteInstanceProfile",
"iam:PutRolePolicy",
"iam:TagRole"
],
"Resource": [
"arn:aws:iam::111122223333:role/SetupIPMonitoringFromVPC*",
"arn:aws:iam::111122223333:instance-profile/SetupIPMonitoringFromVPC*"
],
"Effect": "Allow"
},
{
"Action": [
"cloudformation:CreateStack",
"cloudformation:CreateChangeSet",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"cloudwatch:PutDashboard",
"cloudwatch:DeleteDashboards",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:CreateSecurityGroup",
"ec2:CreateLaunchTemplate",
"ec2:DeleteSecurityGroup",
"ec2:DescribeImages",
"ec2:DescribeSubnets",
"ec2:DescribeInstanceTypes",
"ec2:DescribeVpcs",
"ec2:DeleteLaunchTemplate",
"ec2:DeleteSecurityGroup",
"ec2:RunInstances",
"ec2:TerminateInstances",
"ec2:DescribeInstanceStatus",
"ec2:CreateTags",
"ec2:AssignIpv6Addresses",
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeSecurityGroups",
"ec2:DescribeLaunchTemplates",
"ec2:RevokeSecurityGroupEgress",
"logs:CreateLogGroup",
"logs:DeleteLogGroup",
"logs:PutMetricFilter",
"logs:PutRetentionPolicy",
"logs:TagResource",
"ssm:DescribeInstanceInformation",
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:SendCommand",
"ssm:ListCommands",
"ssm:ListCommandInvocations"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
Se o `TestInstanceProfileName` parâmetro for fornecido, as seguintes permissões do IAM não serão necessárias para executar o runbook:
+ objetivo: CreateRole
+ objetivo: CreateInstanceProfile
+ objetivo: DetachRolePolicy
+ objetivo: AttachRolePolicy
+ objetivo: AddRoleToInstanceProfile
+ objetivo: RemoveRoleFromInstanceProfile
+ objetivo: DeleteRole
+ objetivo: DeleteRolePolicy
+ objetivo: DeleteInstanceProfile
**Etapas do documento**
1. **`aws:executeAwsApi`**- descreva a sub-rede fornecida para obter o ID da VPC IPv6 e o estado de associação do bloco CIDR.
1. **`aws:executeScript`**- valide se o destino fornecido IPs está sintaticamente correto IPv4 e/ou os IPv6 endereços, obtenha a arquitetura do tipo de instância selecionado e verifique se a sub-rede tem uma associação de IPv6 pool, se houver algum IP de destino. IPv6
1. **`aws:createStack`**- crie uma AWS CloudFormation pilha que provisione a instância de teste do Amazon EC2, o perfil da instância do IAM (se não for fornecido), o grupo de segurança (se não for fornecido) CloudWatch , os grupos de log e o painel. CloudWatch
(Limpeza) Se a etapa falhar:
**`aws:executeScript`**- descreva os eventos da CloudFormation pilha para identificar o motivo da falha.
**`aws:deleteStack`**- exclua a CloudFormation pilha e todos os recursos associados.
1. **`aws:waitForAwsResourceProperty`**- espere que a CloudFormation pilha conclua a criação.
(Limpeza) Se a etapa falhar:
**`aws:executeScript`**- descreva os eventos da CloudFormation pilha para identificar o motivo da falha.
**`aws:deleteStack`**- exclua a CloudFormation pilha e todos os recursos associados.
1. **`aws:executeScript`**- descreva os recursos da CloudFormation pilha para obter o ID da instância de teste, o ID do grupo de segurança, a função do IAM, o perfil da instância e o nome do painel.
(Limpeza) Se a etapa falhar:
**`aws:executeScript`**- descreva os eventos da CloudFormation pilha para identificar o motivo da falha.
**`aws:deleteStack`**- exclua a CloudFormation pilha e todos os recursos associados.
1. **`aws:waitForAwsResourceProperty`** :aguarde até que a instância de teste se torne uma instância gerenciada.
(Limpeza) Se a etapa falhar:
**`aws:deleteStack`**- exclua a CloudFormation pilha e todos os recursos associados.
1. **`aws:runCommand`**- instale o CloudWatch agente na instância de teste.
(Limpeza) Se a etapa falhar:
**`aws:deleteStack`**- exclua a CloudFormation pilha e todos os recursos associados.
1. **`aws:runCommand`**- defina os scripts de teste de rede (MTR, ping, tracepath e traceroute) para cada um dos fornecidos. IPs
(Limpeza) Se a etapa falhar:
**`aws:deleteStack`**- exclua a CloudFormation pilha e todos os recursos associados.
1. **`aws:runCommand`**- inicie os testes de rede e agende as execuções subsequentes usando cronjobs que são executados a cada minuto. TestInterval
(Limpeza) Se a etapa falhar:
**`aws:deleteStack`**- exclua a CloudFormation pilha e todos os recursos associados.
1. **`aws:runCommand`**- configure o CloudWatch agente para enviar os resultados do teste `/home/ec2-user/logs/` para o CloudWatch Logs.
(Limpeza) Se a etapa falhar:
**`aws:deleteStack`**- exclua a CloudFormation pilha e todos os recursos associados.
1. **`aws:runCommand`**- configure a rotação do log para os resultados do teste em`/home/ec2-user/logs/`.
1. **`aws:executeScript`**- defina a política de retenção para todos os grupos de CloudWatch registros criados pela CloudFormation pilha.
1. **`aws:executeScript`**- CloudWatch crie filtros métricos de grupos de registros para latência de ping e perda de pacotes de ping.
(Limpeza) Se a etapa falhar:
**`aws:deleteStack`**- exclua a CloudFormation pilha e todos os recursos associados.
1. **`aws:executeScript`**- atualize o CloudWatch painel para incluir widgets para estatísticas de latência de ping e perda de pacotes de ping.
(Limpeza) Se a etapa falhar:
**`aws:executeAwsApi`**- exclua o CloudWatch painel, se ele existir.
**`aws:deleteStack`**- exclua a CloudFormation pilha e todos os recursos associados.
1. **`aws:branch`**- avalie o SleepTime parâmetro. Se definido como`0`, a automação termina sem excluir a pilha.
1. **`aws:sleep`**- aguarde a SleepTime duração especificada antes de excluir a CloudFormation pilha.
1. **`aws:deleteStack`**- exclua a CloudFormation pilha. Com base no RetainDashboardAndLogsOnDeletion parâmetro, o CloudWatch painel e os grupos de registros são mantidos ou excluídos.
(Limpeza) Se a exclusão da pilha falhar:
**`aws:executeScript`**- descreva os eventos da CloudFormation pilha para identificar o motivo da falha na exclusão.
**Saídas**
updateCloudWatchPainel de controle. StackUrl - o URL da CloudFormation pilha.
updateCloudWatchPainel de controle. DashboardUrl - o URL do CloudWatch painel.
updateCloudWatchPainel de controle. DashboardName - o nome do CloudWatch painel.
updateCloudWatchPainel de controle. LogGroups - a lista de grupos de CloudWatch registros criados.
describeStackResources. HelperInstanceId - o ID da instância de teste.
describeStackResources. StackName - o nome da CloudFormation pilha.
# `AWSSupport-TerminateIPMonitoringFromVPC`
**Descrição**
O `AWSSupport-TerminateIPMonitoringFromVPC` encerra um teste de monitoramento de IP iniciado anteriormente pelo `AWSSupport-SetupIPMonitoringFromVPC`. Dados relacionados ao ID de teste especificado serão excluídos.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TerminateIPMonitoringFromVPC)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: String
Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ AutomationExecutionId
Tipo: string
Descrição: (obrigatório) O ID de execução da automação de quando o runbook `AWSSupport-SetupIPMonitoringFromVPC` foi executado anteriormente. Todos os recursos associados a essa ID de execução são excluídos.
+ InstanceId
Tipo: string
Descrição: (Obrigatório) O ID de instância para a instância do monitor.
+ SubnetId
Tipo: string
Descrição: (Obrigatório) O ID de sub-rede para a instância do monitor.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
É recomendável que o usuário que executa a automação tenha a política gerenciada do **Amazon SSMAutomation Role** IAM anexada. Além disso, o usuário deve ter a política a seguir anexada ao seu usuário, grupo ou função:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:DetachRolePolicy",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteRole",
"iam:DeleteInstanceProfile",
"iam:DeleteRolePolicy"
],
"Resource": [
"arn:aws:iam::111122223333:role/AWSSupport/SetupIPMonitoringFromVPC_*",
"arn:aws:iam::111122223333:instance-profile/AWSSupport/SetupIPMonitoringFromVPC_*"
],
"Effect": "Allow"
},
{
"Action": [
"iam:DetachRolePolicy"
],
"Resource": [
"arn:aws:iam::aws:policy/service-role/AmazonSSMManagedInstanceCore"
],
"Effect": "Allow"
},
{
"Action": [
"cloudwatch:DeleteDashboards"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Action": [
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeSecurityGroups",
"ec2:DeleteSecurityGroup",
"ec2:TerminateInstances",
"ec2:DescribeInstanceStatus"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
**Etapas do documento**
1. `aws:assertAwsResourceProperty`- InstanceId verificam AutomationExecutionId e estão relacionados ao mesmo teste.
1. `aws:assertAwsResourceProperty`- InstanceId verificam SubnetId e estão relacionados ao mesmo teste.
1. `aws:executeAwsApi` :recupere o grupo de segurança do teste.
1. `aws:executeAwsApi`- exclua o CloudWatch painel.
1. `aws:changeInstanceState` :encerre a instância de teste.
1. `aws:executeAwsApi`: remover o perfil de instância do IAM da função.
1. `aws:executeAwsApi`: excluir o perfil de instância do IAM criado pela automação.
1. `aws:executeAwsApi`- exclua a política CloudWatch embutida da função criada pela automação.
1. `aws:executeAwsApi`- separe a política SSMManaged InstanceCore gerenciada da **Amazon** da função criada pela automação.
1. `aws:executeAwsApi`: excluir o perfil do IAM criado pela automação.
1. `aws:executeAwsApi`: excluir o grupo de segurança criado pela automação, se existir.
**Saídas**
Nenhum