本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 对亚马逊托管 Grafana 中工作空间降级的问题进行故障排除
<a name="AMG-workspace-degraded-reasons"></a>

由于多种原因，Amazon Managed Grafana 工作空间可能进入降级状态，包括 VPC 配置问题和 KMS 密钥问题。当工作空间降级时，您可能会遇到可用性丢失、无法更改配置以及错过安全更新等问题。以下各节描述了每种降级原因以及为解决该问题可以采取的措施。

## KMS 密钥已禁用（不可恢复）
<a name="degraded-kms-key-failed"></a>

您的工作空间已失败且无法恢复，因为工作空间中使用的 KMS 密钥已被禁用超过 7 天，或者 KMS 授权已被撤销。

您将遇到以下问题：
+ 工作空间的可用性完全丧失，导致警报无法运行，仪表板无法访问
+ 无法对工作区进行配置更改
+ 您的工作区将无法接收安全更新或补丁
+ 所有工作空间数据都永久丢失且无法恢复

**要解决此问题，请执行以下操作：**

此工作空间无法恢复。您必须创建一个新的工作区。有关静态加密的更多信息，请参阅 [静态加密](AMG-encryption-at-rest.md)。有关管理 KMS 密钥的最佳实[践，请参阅《*AWS KMS 开发人员指南*》 AWS KMS中的最佳](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html)实践。

## KMS 密钥已禁用（可恢复）
<a name="degraded-kms-key-disabled"></a>

由于用于客户托管密钥加密的 KMS 密钥已被禁用，您的工作空间已被禁用且无法运行。

在采取行动之前，您将遇到以下问题：
+ 工作空间的可用性完全丧失，导致警报无法运行，仪表板无法访问
+ 无法对工作区进行配置更改
+ 您的工作区将无法接收安全更新或补丁

**要解决此问题，请执行以下操作：**

Re-enable KMS 密钥并在密钥策略中恢复 Amazon Managed Grafana 访问权限。有关更多信息，请参阅《AWS KMS 开发人员指南》**中的[启用和禁用密钥](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)。

**重要**  
您必须在 7 天内重新启用 KMS 密钥。在此时间段之后，工作区将变为`FAILED`状态且无法恢复。  
如果您撤销 Amazon Managed Grafana 为访问您的 KMS 密钥而创建的 KMS 授权，则无法重新创建这些授权，并且工作空间中的数据将永久丢失。有关授权的更多信息，请参阅 *AWS KMS 开发人员指南*中的 [Grants in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)。

## 已删除安全组
<a name="degraded-broken-security-group"></a>

由于与工作空间 VPC 配置关联的安全组已被删除，您的工作空间已被禁用且无法运行。

在采取行动之前，您将遇到以下问题：
+ 工作空间的可用性完全丧失，导致警报无法运行，仪表板无法访问
+ 无法对工作区进行配置更改
+ 您的工作区将无法接收安全更新或补丁

**要解决此问题，请执行以下操作：**

1. 打开亚马逊托管 Grafana 控制台并选择您的工作空间。

1. 将安全组更新为**出站 VPC 连接**设置下的有效安全组。

1. 确认更改并重试 VPC 连接。

为了避免将来出现此问题，请先更新您的 Amazon Managed Grafana 控制台中的安全组，然后再将其从 VPC 中删除。

## 子网已删除
<a name="degraded-broken-subnet"></a>

您的工作空间已被禁用且无法运行，因为已从您的弹性网络接口 (ENI) 中删除了一个子网。

在采取行动之前，您将遇到以下问题：
+ 工作空间的可用性完全丧失，导致警报无法运行，仪表板无法访问
+ 无法对工作区进行配置更改
+ 您的工作区将无法接收安全更新或补丁

**要解决此问题，请执行以下操作：**

1. 打开亚马逊托管 Grafana 控制台并选择您的工作空间。

1. 将子网更新为出站 **VPC 连接**设置下的有效子网。

1. 确认更改并重试 VPC 连接。

为了避免将来出现此问题，请先在您的 Amazon Managed Grafana 控制台中更新子网，然后再将其从 VPC 中删除。

## IP 地址耗尽
<a name="degraded-ip-exhaustion"></a>

由于连接到您的工作空间的子网没有足够的免费 IP 地址，您的工作空间出现可用性下降问题。

**要解决此问题，请执行以下操作：**

1. 打开 Amazon Managed Grafana 控制台。在左侧导航窗格中，选择**所有工作空间**，然后选择您的工作空间。

1. 在**网络访问控制**选项卡的**出站 VPC 连接**下，选择每个子网以访问子网详细信息页面。

1. 确认每个子网至少有 15 个可用的 IPv4 地址。

1. 如果子网的空闲 IP 地址少于 15 个，则通过释放与实例关联的地址或删除未使用的网络接口来释放 IP 地址。

1. 如果您无法释放 IP 地址，请将该子网替换为至少有 15 个空闲 IP 地址的子网。我们建议为 Amazon Managed Grafana 使用专用子网。如需分步指导，请参阅 [如果我因为 IP 地址不足而无法更新 Amazon Managed Grafana 工作区，该怎么办？](AMG-configure-vpc-faq.md#vpc-faq-ip-exhaustion)。

强烈建议您在 VPC 子网中配置警报以监控 IP 用量。有关更多信息，请参阅 *Amazon VPC IPAM 指南*[中的跟踪 IP 地址](https://docs.aws.amazon.com/vpc/latest/ipam/tracking-ip-addresses-ipam.html)。

## 缺少 DHCP 选项集
<a name="degraded-broken-dhcp"></a>

由于连接到您的工作空间的 VPC 未配置 DHCP 选项集，您的工作空间出现可用性丢失。

**要解决此问题，请执行以下操作：**

1. 打开 Amazon Managed Grafana 控制台。在左侧导航窗格中，选择**所有工作空间**，然后选择您的工作空间。

1. 在**网络访问控制**选项卡的**出站 VPC 连接**下，打开与您的工作空间关联的 VPC。

1. 在 VPC 详细信息中，选择**操作**，然后选择**编辑 VPC 设置**。

1. 在 **DHCP 设置**下，将 DHCP 选项集从**无 DHCP 选项设置**更改为有效的选项集。有关更多信息，请参阅《Amazon VPC 用户指南》中的 [DHCP 选项集](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html)。