本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon VPC
AWS Systems Manager Automation 为亚马逊 Virtual Private Cloud 提供了预定义的运行手册。有关运行手册的更多信息,请参阅[使用运行手册](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html)。有关如何查看运行手册内容的信息,请参阅 [查看运行手册内容](automation-runbook-reference.md#view-automation-json)。
**Topics**
+ [`AWS-CloseSecurityGroup`](close-security-group.md)
+ [`AWSSupport-ConfigureDNSQueryLogging`](automation-aws-configure-dns-query-logging.md)
+ [`AWSSupport-ConfigureTrafficMirroring`](automation-aws-configuretrafficmirroring.md)
+ [`AWSSupport-ConnectivityTroubleshooter`](automation-awssupport-connectivitytroubleshooter.md)
+ [`AWSSupport-TroubleshootVPN`](automation-aws-troubleshoot-vpn.md)
+ [`AWSConfigRemediation-DeleteEgressOnlyInternetGateway`](automation-aws-delete-egress-igw.md)
+ [`AWSConfigRemediation-DeleteUnusedENI`](automation-aws-delete-eni.md)
+ [`AWSConfigRemediation-DeleteUnusedSecurityGroup`](automation-aws-delete-ec2-security-group.md)
+ [`AWSConfigRemediation-DeleteUnusedVPCNetworkACL`](automation-aws-delete-vpc-nacl.md)
+ [`AWSConfigRemediation-DeleteVPCFlowLog`](automation-aws-delete-vpc-flow-log.md)
+ [`AWSConfigRemediation-DetachAndDeleteInternetGateway`](automation-aws-detach-delete-igw.md)
+ [`AWSConfigRemediation-DetachAndDeleteVirtualPrivateGateway`](automation-aws-detach-delete-vpg.md)
+ [`AWS-DisableIncomingSSHOnPort22`](disable-incoming-ssh.md)
+ [`AWS-DisablePublicAccessForSecurityGroup`](automation-aws-disablepublicaccessforsecuritygroup.md)
+ [`AWSConfigRemediation-DisableSubnetAutoAssignPublicIP`](automation-aws-disable-subnet-auto-public-ip.md)
+ [`AWSSupport-EnableVPCFlowLogs`](automation-aws-enable-vpc-flowlogs.md)
+ [`AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch`](automation-aws-enable-flow-logs-cw.md)
+ [`AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket`](automation-aws-enable-flow-logs-s3.md)
+ [`AWS-ReleaseElasticIP`](automation-aws-releaseelasticip.md)
+ [`AWS-RemoveNetworkACLUnrestrictedSSHRDP`](aws-remove-nacl-unrestricted-ssh-rdp.md)
+ [`AWSConfigRemediation-RemoveUnrestrictedSourceIngressRules`](automation-aws-remove-unrestricted-source-ingress.md)
+ [`AWSConfigRemediation-RemoveVPCDefaultSecurityGroupRules`](automation-aws-remove-default-secg-rules.md)
+ [`AWSSupport-SetupIPMonitoringFromVPC`](automation-awssupport-setupipmonitoringfromvpc.md)
+ [`AWSSupport-TerminateIPMonitoringFromVPC`](automation-awssupport-terminateipmonitoringfromvpc.md)
# `AWS-CloseSecurityGroup`
**描述**
此运行手册将从您指定的安全组中删除所有入口和出口规则。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CloseSecurityGroup)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。
+ SecurityGroupId
类型:字符串
描述:(必填)要关闭的安全组的 ID。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ec2:DescribeSecurityGroups`
+ `ec2:RevokeSecurityGroupEgress`
+ `ec2:RevokeSecurityGroupIngress`
**文档步骤**
+ `aws:executeScript`-从您在参数中指定的安全组中移除所有入口和出口规则。`SecurityGroupId`
# `AWSSupport-ConfigureDNSQueryLogging`
**描述**
`AWSSupport-ConfigureDNSQueryLogging` 运行手册为源自虚拟私有云 (VPC) 的或为 Amazon Route 53 托管区的 DNS 查询配置日志记录。您可以选择将查询日志发布到亚马逊日 CloudWatch 志、亚马逊简单存储服务 (Amazon S3) Service 或亚马逊 Data Firehose。有关查询日志记录和解析器查询日志的更多信息,请参阅[公共 DNS 查询日志记录](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html)和[解析器查询日志记录](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html)。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ConfigureDNSQueryLogging)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。
+ LogDestinationArn
类型:字符串
描述:(可选)您要向其发送查询日志的 CloudWatch 日志组、Amazon S3 存储桶或 Firehose 流的 ARN。请注意,Route 53 公共 DNS 查询日志记录仅支持 CloudWatch 日志组。如果您未为此参数指定值,则自动化会创建一个格式为的 CloudWatch 日志组` AWSSupport-ConfigureDNSQueryLogging-{automation: EXECUTION_ID } `,以及用于发布查询日志的 IAM 资源策略。自动化创建的 CloudWatch 日志组的保留期为 14 天。
+ QueryLogType
类型:字符串
描述:(可选)要记录的查询的类型。
有效值:公共 \$1 解析器/私有
默认:公共
+ ResourceId
类型:字符串
描述:(必需)要记录其查询的资源的 ID。如果您为 `QueryLogType` 参数指定 `Public`,则资源必须是 Route 53 私有托管区的 ID。如果您 为 `QueryLogType` 参数指定 `Resolver/Private`,则资源必须是 VPC 的 ID。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ec2:DescribeVpcs`
+ `firehose:ListTagsForDeliveryStream`
+ `firehose:PutRecord`
+ `firehose:PutRecordBatch`
+ `firehose:TagDeliveryStream`
+ `iam:AttachRolePolicy`
+ `iam:CreatePolicy`
+ `iam:CreateRole`
+ `iam:CreateServiceLinkedRole`
+ `iam:DeletePolicy`
+ `iam:DeleteRole`
+ `iam:DeleteRolePolicy`
+ `iam:GetPolicy`
+ `iam:GetRole`
+ `iam:PassRole`
+ `iam:PutRolePolicy`
+ `iam:TagRole`
+ `iam:UpdateRole`
+ `logs:CreateLogDelivery`
+ `logs:CreateLogGroup`
+ `logs:DeleteLogDelivery`
+ `logs:DeleteLogGroup`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `logs:DescribeResourcePolicies`
+ `logs:ListLogDeliveries`
+ `logs:PutResourcePolicy`
+ `logs:PutRetentionPolicy`
+ `logs:UpdateLogDelivery`
+ `route53:CreateQueryLoggingConfig`
+ `route53:DeleteQueryLoggingConfig`
+ `route53:GetHostedZone`
+ `route53resolver:AssociateResolverQueryLogConfig`
+ `route53resolver:CreateResolverQueryLogConfig`
+ `route53resolver:DeleteResolverQueryLogConfig`
+ `s3:GetBucketAcl`
**文档步骤**
+ `aws:executeScript` - 验证您为 `ResourceId` 参数指定的资源是否存在,并检查资源类型是否匹配所需的 `QueryLogType` 选项。
+ `aws:executeScript` - 验证您为 `LogDestinationArn` 参数指定的值是否匹配所需的 `QueryLogType` 值。
+ `aws:executeScript`-验证 Route 53 向日志组发布日志所需的权限,如果不存在所需的 IAM 资源策略,则创建所需的 IAM 资源策略。 CloudWatch
+ `aws:executeScript` - 对所选目标启用 DNS 查询日志记录。
# `AWSSupport-ConfigureTrafficMirroring`
**描述**
`AWSSupport-ConfigureTrafficMirroring` 运行手册将配置流量镜像,以帮助您解决负载均衡器与 Amazon Elastic Compute Cloud (Amazon EC2) 实例之间的连接问题。流量镜像会复制来自附加到您的实例的网络接口的入站和出站流量。要配置流量镜像,此运行手册将创建所需的目的地、筛选条件和会话。默认情况下,运行手册会为除 Amazon DNS 之外的所有协议的所有入站和出站流量配置镜像。如果您希望镜像来自特定来源和目的地的流量,则可以在自动化完成后修改入站和出站规则。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ConfigureTrafficMirroring)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(必需)允许 Systems Manager Automation 代表您执行操作的 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。
+ SourceENI
类型:字符串
描述:(必需)要为其配置流量镜像的弹性网络接口。
+ Target
类型:字符串
描述:(必需)镜像流量的目的地。必须指定网络接口、网络负载均衡器或网关负载均衡器端点的 ID。如果您指定了网络负载均衡器,则端口 4789 上必须有 UDP 侦听器。
+ SessionNumber
类型:字符串
有效值:1-32766
描述:(必需)要使用的镜像会话的数量。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ec2:CreateTrafficMirrorTarget`
+ `ec2:CreateTrafficMirrorFilter`
+ `ec2:CreateTrafficMirrorFilterRule`
+ `ec2:CreateTrafficMirrorSession`
+ `ec2:DeleteTrafficMirrorSession`
+ `ec2:DeleteTrafficMirrorFilter`
+ `ec2:DeleteTrafficMirrorSession`
+ `ec2:DeleteTrafficMirrorFilterRule`
+ `iam:ListRoles`
+ `ssm:GetAutomationExecution`
+ `ssm:StartAutomationExecution`
**文档步骤**
+ `aws:executeScript` - 运行脚本以创建一个目标。
+ `aws:executeAwsApi` - 创建一个筛选规则。
+ `aws:executeAwsApi` - 为所有入站流量创建一个镜像筛选规则。
+ `aws:executeAwsApi` - 为所有出站流量创建一个镜像筛选规则。
+ `aws:executeAwsApi` - 创建流量镜像会话。
+ `aws:executeAwsApi` - 在筛选器或会话创建失败时删除筛选器。
+ `aws:executeAwsApi` - 在筛选器或会话创建失败时删除目标。
**输出**
CreateFilter.FilterId
CreateSession.SessionId
CreateTarget. 目标 IDOutput
# `AWSSupport-ConnectivityTroubleshooter`
**描述**
`AWSSupport-ConnectivityTroubleshooter` 运行手册可诊断以下各项之间的连接问题:
+ AWS 亚马逊虚拟私有云(亚马逊 VPC)中的资源
+ AWS 同一 AWS 区域 个 Amazon VPCs 中使用 VPC 对等互连连接的不同亚马逊中的资源
+ AWS Amazon VPC 中的资源和使用互联网网关的互联网资源
+ AWS Amazon VPC 中的资源和使用网络地址转换 (NAT) 网关的互联网资源
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ConnectivityTroubleshooter)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。
+ DestinationIP
类型:字符串
描述:(必填)您要连接的资源 IPv4 的地址。
+ DestinationPort
类型:字符串
默认:True
描述:(必需)要在目的地资源上连接的端口号。
+ DestinationVpc
类型:字符串
默认:全部
描述:(可选)要测试与之连接性的 Amazon VPC 的 ID。
+ SourceIP
类型:字符串
描述:(必填)您的 Amazon VPC 中您想要测试连接的 AWS 资源的私有 IPv4 地址。
+ SourcePortRange
类型:字符串
描述:(可选)您的 Amazon VPC 中您想要测试连接的 AWS 资源使用的端口范围。
+ SourceVpc
类型:字符串
默认:全部
描述:(可选)要从其测试连接性的 Amazon VPC 的 ID。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ec2:DescribeNatGateways`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeVpcPeeringConnections`
**文档步骤**
+ `aws:executeScript`-收集有关您在`SourceIP`参数中指定的 AWS 资源的详细信息。
+ `aws:executeScript`-使用上一步收集的路由,确定来自 AWS 资源的网络流量的目的地。
+ `aws:branch` - 根据网络流量的目的地进行分支。
+ `aws:executeAwsApi` - 收集有关目的地资源的详细信息。
+ `aws:executeScript` - 确认为目的地 Amazon VPC 返回的 ID 匹配在 `DestinationVpc` 参数中指定的值(如果有)。
+ `aws:executeAwsApi` - 收集源资源和目的地资源的安全组规则。
+ `aws:executeScript` - 确认安全组规则是否允许来源资源和目的地资源之间所需的流量。
+ `aws:executeAwsApi`-收集与源资源和目标资源的子网关联的网络访问控制列表 (NACLs)。
+ `aws:executeScript`-确认是否 NACLs 允许源资源和目标资源之间所需的流量。
+ `aws:executeScript` - 在路由目的地是互联网网关时确认来源是否拥有与资源关联的公有 IP 地址。
+ `aws:executeAwsApi` - 收集来源资源的安全组规则。
+ `aws:executeScript` - 确认安全组规则是否允许从来源资源到目的地资源的所需流量。
+ `aws:executeAwsApi`-为源资源收集与子网 NACLs 关联的。
+ `aws:executeScript`-确认是否 NACLs 允许来自源资源的所需流量。
+ `aws:executeAwsApi` - 收集 NAT 网关的详细信息。
+ `aws:executeAwsApi`-为 NAT 网关收集与子网 NACLs 关联的。
+ `aws:executeScript`-确认是否 NACLs 允许来自子网的所需流量用于 NAT 网关。
+ `aws:executeScript` - 收集与 NAT 网关的子网关联的路由。
+ `aws:executeScript` - 确认 NAT 网关是否具有到互联网网关的路由。
+ `aws:executeAwsApi` - 收集有关 VPC 对等连接的详细信息。
+ `aws:executeScript`-确认两 VPCs 者位于同一区域,并且为目标 VPC 返回的 ID 与`DestinationVpc`参数中指定的值(如果有)相匹配。
+ `aws:executeAwsApi` - 返回目的地资源的子网。
+ `aws:executeScript` - 收集与对等连接 VPC 的子网关联的路由。
+ `aws:executeScript` - 确认对等连接 VPC 是否有到对等连接的路由。
+ `aws:executeScript` - 确认当自动化不支持目的地时是否允许来自源资源的流量。
# `AWSSupport-TroubleshootVPN`
**描述**
`AWSSupport-TroubleshootVPN`运行手册可帮助您跟踪和解决 AWS Site-to-Site VPN 连接中的错误。自动化包括多项自动检查,旨在跟踪`IKEv1`与 AWS Site-to-Site VPN 连接隧道相关的`IKEv2`错误。自动化将尝试匹配特定的错误及其相应的解决方案,从而形成常见问题列表。
**注意:**此自动化并不能纠正错误。它在上述时间范围内运行,并扫描日志组中是否存在 [VPN CloudWatch 日志组](https://docs.aws.amazon.com//vpn/latest/s2svpn/log-contents.html)中的错误。
**如何工作?**
运行手册运行参数验证,以确认输入参数中包含的 Amazon CloudWatch 日志组是否存在、日志组中是否存在与 VPN 隧道日志记录相对应的日志流、VPN 连接 ID 是否存在以及隧道 IP 地址是否存在。它会在配置为 VPN 日志记录的 CloudWatch 日志组上进行 Logs Insights API 调用。
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。
+ LogGroupName
类型:字符串
描述:(必填)为 AWS Site-to-Site VPN 连接 CloudWatch 日志配置的 Amazon 日志组名称
允许的模式:`^[\.\-_/#A-Za-z0-9]{1,512}`
+ VpnConnectionId
类型:字符串
描述:(必填)要进行故障排除的 AWS Site-to-Site VPN 连接 ID。
允许的模式:`^vpn-[0-9a-f]{8,17}$`
+ 隧道 AIPAddress
类型:字符串
描述:(必填)与您的关联的 1 号隧道 IPv4 地址 AWS Site-to-Site VPN。
允许的模式:`^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}$`
+ 隧道 BIPAddress
类型:字符串
描述:(可选)与您关联的隧道号码 2 IPv4 的地址 AWS Site-to-Site VPN。
允许的模式:`^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)[.]){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?){1}|^$`
+ IKEVersion
类型:字符串
描述:(必需)选择您正在使用的 IKE 版本。允许的值: IKEv1, IKEv2
有效值:`['IKEv1', 'IKEv2']`
+ StartTimeinEpoch
类型:字符串
描述:(可选)日志分析的开始时间。您可以使用 StartTimeinEpoch/EndTimeinEpoch 或 LookBackPeriod 进行日志分析
允许的模式:`^\d{10}|^$`
+ EndTimeinEpoch
类型:字符串
描述:(可选)日志分析的结束时间。您可以使用 StartTimeinEpoch/EndTimeinEpoch 或 LookBackPeriod 进行日志分析。如果两者兼 StartTimeinEpoch/EndTimeinEpoch 而有之 LookBackPeriod ,则优 LookBackPeriod 先
允许的模式:`^\d{10}|^$`
+ LookBackPeriod
类型:字符串
描述:(可选)以小时为单位的两位数时间,用于回顾日志分析。有效范围:01 - 99。如果您还给出 StartTimeinEpoch和,则此值优先 EndTime
允许的模式:`^(\d?[1-9]|[1-9]0)|^$`
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `logs:DescribeLogGroups`
+ `logs:GetQueryResults`
+ `logs:DescribeLogStreams`
+ `logs:StartQuery`
+ `ec2:DescribeVpnConnections`
**说明**
**注意:**当 CloudWatch 日志输出格式为 JSON 时,此自动化适用于为 VPN 隧道日志记录配置的日志组。
按照这些步骤对自动化进行配置:
1. 在 AWS Systems Manager 控制台[AWSSupport-TroubleshootVPN](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootVPN/description)中导航到。
1. 要输入参数,请输入以下内容:
+ **AutomationAssumeRole (可选):**
允许 Systems Manager Automation 代表您执行操作的 AWS Identity and Access Management (IAM) 角色的亚马逊资源名称 (ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。
+ **LogGroupName (必填):**
要验证的 Amazon CloudWatch 日志组名称。这必须是为 VPN 配置的 CloudWatch 日志组,以便向其发送日志。
+ **VpnConnectionId (必填):**
因为 VPN 错误而跟踪其日志组的 AWS Site-to-Site VPN 连接 ID。
+ **隧道AIPAddress (必填):**
隧道 A 与您的 AWS Site-to-Site VPN 连接关联的 IP 地址。
+ **隧道BIPAddress (可选):**
与您的 AWS Site-to-Site VPN 连接关联的隧道 B IP 地址。
+ **IKEVersion (必填):**
选择 IKEversion 您正在使用的内容。允许的值: IKEv1、 IKEv2。
+ **StartTimeinEpoch (可选):**
查询错误的时间范围的起点。该范围包括在内,因此查询中包含了指定的开始时间。指定为纪元时间,即自 1970 年 1 月 1 日 00:00:00 UTC 以来的秒数。
+ **EndTimeinEpoch (可选):**
查询错误的时间范围的结束时间。该范围包括在内,因此查询中包含了指定的结束时间。指定为纪元时间,即自 1970 年 1 月 1 日 00:00:00 UTC 以来的秒数。
+ **LookBackPeriod (必填):**
回顾错误查询所需的时间(以小时为单位)。
**注意:**配置 StartTimeinEpoch EndTimeinEpoch、或 LookBackPeriod 以固定日志分析的时间范围。给出一个以小时为单位的两位数数字,以检查从自动化开始时间起过去是否有错误。或者,如果错误发生在特定的时间范围内,请使用 StartTimeinEpoch 和 EndTimeinEpoch,而不是 LookBackPeriod。
![\[Input parameters form for AWS Site-to-Site VPN connection validation and log analysis.\]](http://docs.aws.amazon.com/zh_cn/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-vpn_input_parameters.png)
1. 选择**执行**。
1. 自动化启动。
1. 自动化运行手册执行以下步骤:
+ **parameterValidation:**
对自动化中包含的输入参数运行一系列验证。
+ **branchOnValidationOfLogGroup:**
检查参数中提到的日志组是否有效。如果无效,它会停止进一步启动自动化步骤。
+ **branchOnValidationOfLogStream:**
检查包含的日志组中是否存在 CloudWatch 日志流。如果无效,它会停止进一步启动自动化步骤。
+ **branchOnValidationOfVpnConnectionId:**
检查参数中包含的 VPN 连接 ID 是否有效。如果无效,它会停止进一步启动自动化步骤。
+ **branchOnValidationOfVpnIp:**
检查参数中提到的隧道 IP 地址是否有效。如果无效,它会停止进一步执行自动化步骤。
+ **traceError:**
在包含的 CloudWatch 日志组中调用 logs insight API,并搜索与 IKEv1 /相关的错误IKEv2 以及相关的建议解决方案。
1. 完成后,查看“输出”部分以了解执行的详细结果。
![\[Output section showing parameter validation results and error messages for VPN tunnels.\]](http://docs.aws.amazon.com/zh_cn/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-vpn_outputs.png)
**参考**
Systems Manager Automation
+ [运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-DDoSResiliencyAssessment)
+ [运行自动化](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [设置自动化](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [支持自动化工作流登录页面](https://aws.amazon.com/premiumsupport/technology/saw/)
AWS 服务文档
+ [ Site-to-SiteVPN 日志的内容](https://docs.aws.amazon.com//vpn/latest/s2svpn/log-contents.html)
# `AWSConfigRemediation-DeleteEgressOnlyInternetGateway`
**描述**
`AWSConfigRemediation-DeleteEgressOnlyInternetGateway` 运行手册删除指定的仅出口互联网网关。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteEgressOnlyInternetGateway)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(必需)允许 Systems Manager Automation 代表您执行操作的 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。
+ EgressOnlyInternetGatewayId
类型:字符串
描述:(必需)要删除的仅出口互联网网关的 ID。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DeleteEgressOnlyInternetGateway`
+ `ec2:DescribeEgressOnlyInternetGateways`
**文档步骤**
+ `aws:executeScript` - 删除 `EgressOnlyInternetGatewayId` 参数中指定的仅出口互联网网关。
+ `aws:executeScript` - 验证仅出口互联网网关是否已被删除。
# `AWSConfigRemediation-DeleteUnusedENI`
**描述**
`AWSConfigRemediation-DeleteUnusedENI` 运行手册将删除连接状态为 `detached` 的弹性网络接口 (ENI)。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteUnusedENI)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(必需)允许 Systems Manager Automation 代表您执行操作的 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。
+ NetworkInterfaceId
类型:字符串
描述:(必需)要删除的 ENI ID。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DeleteNetworkInterface`
+ `ec2:DescribeNetworkInterfaces `
**文档步骤**
+ `aws:executeAwsApi` - 删除您在 `NetworkInterfaceId` 参数中指定的 ENI。
+ `aws:executeScript` - 验证 ENI 是否已被删除。
# `AWSConfigRemediation-DeleteUnusedSecurityGroup`
**描述**
`AWSConfigRemediation-DeleteUnusedSecurityGroup` 运行手册将删除您在 `GroupId` 参数中指定的安全组。如果您尝试删除与 Amazon Elastic Compute Cloud (Amazon EC2) 实例关联的安全组或由另一个安全组引用的安全组,则自动化将失败。此自动化不会删除默认的安全组。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteUnusedSecurityGroup)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(必需)允许 Systems Manager Automation 代表您执行操作的 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。
+ GroupId
类型:字符串
描述:(必需)要删除的安全组 ID。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DeleteSecurityGroup`
**文档步骤**
+ `aws:executeAwsApi` - 使用您在 `GroupId` 参数中提供的值返回安全组名称。
+ `aws:branch` - 确认群组名称不是“default”。
+ `aws:executeAwsApi` - 删除 `GroupId` 参数中指定的安全组。
+ `aws:executeScript` - 确认安全组已删除。
# `AWSConfigRemediation-DeleteUnusedVPCNetworkACL`
**描述**
`AWSConfigRemediation-DeleteUnusedVPCNetworkACL` 运行手册删除将删除不与子网关联的网络访问控制列表 (ACL)。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteUnusedVPCNetworkACL)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(必需)允许 Systems Manager Automation 代表您执行操作的 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。
+ NetworkAclId
类型:字符串
描述:(必需)要删除的网络 ACL 的 ID。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DeleteNetworkAcl`
+ `ec2:DescribeNetworkAcls`
**文档步骤**
+ `aws:executeAwsApi` - 删除 `NetworkAclId` 参数中指定的网络 ACL。
+ `aws:executeScript` - 确认 `NetworkAclId` 参数中指定的网络 ACL 已删除。
# `AWSConfigRemediation-DeleteVPCFlowLog`
**描述**
`AWSConfigRemediation-DeleteVPCFlowLog`运行手册将删除您指定的虚拟私有云(VPC)流日志。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DeleteVPCFlowLog)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(必需)允许 Systems Manager Automation 代表您执行操作的 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。
+ FlowLogId
类型:字符串
描述:(必需)要删除的流日志的 ID。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DeleteFlowLogs`
+ `ec2:DescribeFlowLogs`
**文档步骤**
+ `aws:executeAwsApi` - 删除您在 `FlowLogId` 参数中指定的流日志。
+ `aws:executeScript` - 验证流日志是否已删除。
# `AWSConfigRemediation-DetachAndDeleteInternetGateway`
**描述**
`AWSConfigRemediation-DetachAndDeleteInternetGateway` 运行手册将分离并删除您指定的互联网网关。如果您的虚拟私有云 (VPC) 中的任何 Amazon EC2 实例具有与之关联的弹性 IP IPv4 地址或公有地址,则运行手册将失败。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DetachAndDeleteInternetGateway)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(必需)允许 Systems Manager Automation 代表您执行操作的 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。
+ InternetGatewayId
类型:字符串
描述:(必需)要删除的互联网网关的 ID。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DeleteInternetGateway`
+ `ec2:DescribeInternetGateways`
+ `ec2:DetachInternetGateway`
**文档步骤**
+ `aws:waitForAwsResourceProperty` - 接受虚拟专用网关的 ID,然后等到虚拟专用网关的状态属性变为 `available` 或超时。
+ `aws:executeAwsApi` - 检索指定的虚拟专用网关配置。
+ `aws:branch`-基于 VpcAttachments .state 参数值的分支。
+ `aws:waitForAwsResourceProperty`-接受虚拟专用网关的 ID,并等待虚拟专用网关的 VpcAttachments .state 属性更改为`attached`或超时。
+ `aws:executeAwsApi` - 接受虚拟专用网关 ID 和 Amazon VPC 的 ID 作为输入,并将虚拟专用网关与 Amazon VPC 分离。
+ `aws:waitForAwsResourceProperty`-接受虚拟专用网关的 ID,并等待虚拟专用网关的 VpcAttachments .state 属性更改为`detached`或超时。
+ `aws:executeAwsApi` - 接受虚拟专用网关的 ID 作为输入并将其删除。
+ `aws:waitForAwsResourceProperty` - 接受虚拟专用网关的 ID 作为输入,并验证是否将其删除。
`aws:executeAwsApi` - 从 互联网网关 ID 收集 VPC ID。
+ `aws:executeAwsApi` - 将互联网网关 ID 与 VPC 分离。
+ `aws:executeAwsApi` - 删除互联网网关。
# `AWSConfigRemediation-DetachAndDeleteVirtualPrivateGateway`
**描述**
`AWSConfigRemediation-DetachAndDeleteVirtualPrivateGateway` 运行手册将分离并删除给定的 Amazon Elastic Compute Cloud (Amazon EC2) 虚拟专用网关,该网关附加到通过 Amazon Virtual Private Cloud (Amazon VPC) 创建的虚拟私有云(VPC)。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DetachAndDeleteVirtualPrivateGateway)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(必需)允许 Systems Manager Automation 代表您执行操作的 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。
+ VpnGatewayId
类型:字符串
描述:(必需)要删除的虚拟专用网关的 ID。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DeleteVpnGateway`
+ `ec2:DetachVpnGateway`
+ `ec2:DescribeVpnGateways`
**文档步骤**
+ `aws:waitForAwsResourceProperty` - 接受虚拟专用网关的 ID,然后等到虚拟专用网关的状态属性变为 `available` 或超时。
+ `aws:executeAwsApi` - 检索指定的虚拟专用网关配置。
+ `aws:branch`-基于 VpcAttachments .state 参数值的分支。
+ `aws:waitForAwsResourceProperty`-接受虚拟专用网关的 ID,并等待虚拟专用网关的 VpcAttachments .state 属性更改为`attached`或超时。
+ `aws:executeAwsApi` - 接受虚拟专用网关 ID 和 Amazon VPC 的 ID 作为输入,并将虚拟专用网关与 Amazon VPC 分离。
+ `aws:waitForAwsResourceProperty`-接受虚拟专用网关的 ID,并等待虚拟专用网关的 VpcAttachments .state 属性更改为`detached`或超时。
+ `aws:executeAwsApi` - 接受虚拟专用网关的 ID 作为输入并将其删除。
+ `aws:waitForAwsResourceProperty` - 接受虚拟专用网关的 ID 作为输入,并验证是否将其删除。
# `AWS-DisableIncomingSSHOnPort22`
**描述**
该`AWS-DisableIncomingSSHOnPort22`运行手册删除了允许安全组在 TCP 端口 22 上不受限制地传入 SSH 流量的规则。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-DisableIncomingSSHOnPort22)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。
+ SecurityGroupIds
类型:字符串
描述:(必填)要限制 SSH 流量的安全组列表,以逗号分隔。 IDs
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ec2:DescribeSecurityGroups`
+ `ec2:RevokeSecurityGroupIngress`
**文档步骤**
+ `aws:executeAwsApi`-从您在`SecurityGroupIds`参数中指定的安全组中移除允许通过 TCP 端口 22 传入 SSH 流量的所有规则。
**输出**
DisableIncomingSSHTemplate。 RestrictedSecurityGroupIds -已移除入站 SSH 规则的安全组列表。 IDs
# `AWS-DisablePublicAccessForSecurityGroup`
**描述**
本运行手册禁用对所有 IP 地址开放的默认 SSH 和 RDP 端口。
**重要**
此运行手册失败,并显示 “InvalidPermission。 NotFound“符合以下两个条件的安全组会出错:1) 安全组位于非默认 VPC 中;2) 安全组的入站规则未使用以下所有四个模式指定开放端口:
`0.0.0.0/0`
`::/0`
`SSH or RDP port + 0.0.0.0/0`
`SSH or RDP port + ::/0`
**注意**
本运行手册在中国 AWS 区域 境内尚不可用。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-DisablePublicAccessForSecurityGroup)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。
+ GroupId
类型:字符串
描述:(必需)端口应被禁用的安全组的 ID。
+ IpAddressToBlock
类型:字符串
描述:(可选)应阻止访问的其他 IPv4 地址,格式为`1.2.3.4/32`。
# `AWSConfigRemediation-DisableSubnetAutoAssignPublicIP`
**描述**
`AWSConfigRemediation-DisableSubnetAutoAssignPublicIP`运行手册将禁用您指定的子网的 IPv4 公有寻址属性。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-DisableSubnetAutoAssignPublicIP)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(必需)允许 Systems Manager Automation 代表您执行操作的 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。
+ SubnetId
类型:字符串
描述:(必填)要禁用自动分配公共 IPv4 地址属性的子网的 ID。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DescribeSubnets`
+ `ec2:ModifySubnetAttribute`
**文档步骤**
+ `aws:executeAwsApi`-禁用您在参数中指定的子网的自动分配公有 IPv4地址属性。`SubnetId`
+ `aws:assertAwsResourceProperty` - 验证该属性是否已被禁用。
# `AWSSupport-EnableVPCFlowLogs`
**描述**
该`AWSSupport-EnableVPCFlowLogs `运行手册为子网、网络接口以及您的子网、网络接口创建亚马逊虚拟私有云(Amazon VPC)流日志。 VPCs AWS 账户如果您为子网或 VPC 创建流日志,则会监控该子网或 Amazon VPC 中的每个网络接口。流日志数据将发布到亚马逊 CloudWatch 日志组或您指定的亚马逊简单存储服务 (Amazon S3) 存储桶。有关流日志的更多信息,请参阅*《Amazon VPC 用户指南》*中的 [VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)。
**重要**
当您将流日志发布到 Logs 或 Amazon S3 时,会收取已售日志的数据摄取 CloudWatch 和存档费用。有关更多信息,请参阅[流日志定价](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-pricing)
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-EnableVPCFlowLogs)
**注意**
选择`s3`作为日志目标时,请确保存储桶策略允许日志传输服务访问存储桶。有关更多信息,请参阅[流日志的 Amazon S3 存储桶权限](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-s3.html#flow-logs-s3-permissions)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。
+ DeliverLogsPermissionArn
类型:字符串
描述:(可选)允许亚马逊弹性计算云 (Amazon EC2) 将流日志发布到您账户中的日志组的 IAM 角色的 ARN。 CloudWatch 如果您为 `LogDestinationType` 参数指定了 `s3`,则不要为该参数提供值。有关更多信息,请参阅 *Amazon VPC 用户指南*中的[向 CloudWatch 日志发布流](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-cwl.html)日志。
+ LogDestinationARN
类型:字符串
描述:(可选)要向其发布流日志数据的资源的 ARN。如果`cloud-watch-logs`为`LogDestinationType`参数指定,请提供要向其发布流 CloudWatch 日志数据的日志组的 ARN。或者,改用 `LogGroupName`。如果为 `LogDestinationType` 参数指定了 `s3`,则必须为此参数指定您要向其发布流日志数据的 Amazon S3 存储桶的 ARN。您还可以指定存储桶中的文件夹。
**重要**
选择`s3`作为时,`LogDestinationType`您应确保所选存储桶遵循 [Amazon S3 存储桶安全最佳实践](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html),并遵守您所在组织和地理区域的数据隐私法。
+ LogDestinationType
类型:字符串
有效值: cloud-watch-logs\$1 s3
描述:(必需)确定流日志数据的发布位置。如果将 `LogDestinationType` 指定为 `s3`,则不要指定 `DeliverLogsPermissionArn` 或 `LogGroupName`。
+ LogFormat
类型:字符串
描述:(可选)要包含在流日志中的字段,以及它们在记录中出现的顺序。有关可用字段的列表,请参阅*《Amazon VPC 用户指南》*中的[流日志记录](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-log-records)。如果不为该参数指定值,则使用默认的格式创建流日志。如果指定此参数,则必须至少指定一个字段。
+ LogGroupName
类型:字符串
描述:(可选)发布流 CloudWatch 日志数据的日志日志组的名称。如果您为 `LogDestinationType` 参数指定了 `s3`,则不要为该参数提供值。
+ ResourceIds
类型: StringList
描述:(必填)要 IDs 为其创建流日志的子网、弹性网络接口或 VPC 的以逗号分隔的列表。
+ TrafficType
类型:字符串
有效值:ACCEPT \$1 REJECT \$1 ALL
描述:(必需)要记录的流量的类型。您可以记录资源接受或拒绝的流量,或者记录所有流量。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:CreateFlowLogs`
+ `ec2:DeleteFlowLogs`
+ `ec2:DescribeFlowLogs`
+ `iam:AttachRolePolicy`
+ `iam:CreateRole`
+ `iam:CreatePolicy`
+ `iam:DeletePolicy`
+ `iam:DeleteRole`
+ `iam:DeleteRolePolicy`
+ `iam:GetPolicy`
+ `iam:GetRole`
+ `iam:TagRole`
+ `iam:PassRole`
+ `iam:PutRolePolicy`
+ `iam:UpdateRole`
+ `logs:CreateLogDelivery`
+ `logs:CreateLogGroup`
+ `logs:DeleteLogDelivery`
+ `logs:DeleteLogGroup`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `s3:GetBucketLocation`
+ `s3:GetBucketAcl`
+ `s3:GetBucketPublicAccessBlock`
+ `s3:GetBucketPolicyStatus`
+ `s3:GetBucketAcl`
+ `s3:ListBucket`
+ `s3:PutObject`
政策示例
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SSMExecutionPermissions",
"Effect": "Allow",
"Action": [
"ssm:StartAutomationExecution",
"ssm:GetAutomationExecution"
],
"Resource": "*"
},
{
"Sid": "EC2FlowLogsPermissions",
"Effect": "Allow",
"Action": [
"ec2:CreateFlowLogs",
"ec2:DeleteFlowLogs",
"ec2:DescribeFlowLogs"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/resource-id",
"arn:aws:ec2:us-east-1:111122223333:subnet/resource-id",
"arn:aws:ec2:us-east-1:111122223333:vpc/resource-id",
"arn:aws:ec2:us-east-1:111122223333:transit-gateway/resource-id",
"arn:aws:ec2:us-east-1:111122223333:transit-gateway-attachment/resource-id"
]
},
{
"Sid": "IAMCreateRolePermissions",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:CreatePolicy",
"iam:DeletePolicy",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:GetPolicy",
"iam:GetRole",
"iam:TagRole",
"iam:PassRole",
"iam:PutRolePolicy",
"iam:UpdateRole"
],
"Resource": [
"arn:aws:iam::111122223333:role/role-name",
"arn:aws:iam::111122223333:role/AWSSupportCreateFlowLogsRole"
]
},
{
"Sid": "CloudWatchLogsPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:DeleteLogDelivery",
"logs:DeleteLogGroup",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:log-group-name",
"arn:aws:logs:us-east-1:111122223333:log-group:log-group-name:*"
]
},
{
"Sid": "S3Permissions",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetBucketPublicAccessBlock",
"s3:GetAccountPublicAccessBlock",
"s3:GetBucketPolicyStatus",
"s3:GetBucketAcl",
"s3:ListBucket",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
**文档步骤**
+ `aws:branch` - 根据为 `LogDestinationType` 参数指定的值进行分支。
+ `aws:executeScript`-检查目标亚马逊简单存储服务 (Amazon S3) Simple Storage Service 是否有可能**授予对其**对象的读取**或**`public`写入权限。
+ `aws:executeScript` - 在没有为 `LogDestinationARN` 参数指定任何值但为 `LogDestinationType` 参数指定了 `cloud-watch-logs` 时创建一个日志组值。
+ `aws:executeScript` - 根据运行手册参数中指定的值创建流日志。
# `AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch`
**描述**
该`AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch`运行手册将向亚马逊简单存储服务 (Amazon S3) Simple Storage Service 发布流日志数据的现有 Amazon VPC 流日志替换为将流日志数据发布到您指定的 CloudWatch 亚马逊日志CloudWatch (日志)日志组的流日志。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableVPCFlowLogsToCloudWatch)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(必需)允许 Systems Manager Automation 代表您执行操作的 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。
+ DestinationLogGroup
类型:字符串
描述:(必填)要向其发布流 CloudWatch 日志数据的日志组的名称。
+ DeliverLogsPermissionArn
类型:字符串
描述:(必填)您要使用的 AWS Identity and Access Management (IAM) 角色的 ARN,该角色为亚马逊弹性计算云 (Amazon EC2) 提供向日志发布流日志数据的必要权限。 CloudWatch
+ FlowLogId
类型:字符串
描述:(必需)要替换的发布到 Amazon S3 的流日志的 ID。
+ MaxAggregationInterval
类型:整数
有效值:60 \$1 600
描述:(可选)捕获数据包流并聚合到流日志记录中的最长时间间隔(以秒为单位)。
+ TrafficType
类型:字符串
有效值:ACCEPT \$1 REJECT \$1 ALL
描述:(必需)要记录和发布的流日志数据的类型。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:CreateFlowLogs`
+ `ec2:DeleteFlowLogs`
+ `ec2:DescribeFlowLogs`
**文档步骤**
+ `aws:executeAwsApi` - 从您在 `FlowLogId` 参数中指定的值收集有关 VPC 的详细信息。
+ `aws:executeAwsApi` - 根据您为运行手册参数指定的值创建一个流日志。
+ `aws:assertAwsResourceProperty`-验证新创建的流日志已发布到 CloudWatch 日志。
+ `aws:executeAwsApi` - 删除发布到 Amazon S3 的流日志。
+ `aws:executeScript` - 确认发布到 Amazon S3 的流日志已删除。
# `AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket`
**描述**
该`AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket`运行手册*将向亚马逊 CloudWatch 日志(日志)发布流日志数据的现有 Amazon VPC 流CloudWatch 日志替换*为将流日志数据发布到您指定的亚马逊简单存储服务 (Amazon S3) 存储桶的流日志。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableVPCFlowLogsToS3Bucket)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(必需)允许 Systems Manager Automation 代表您执行操作的 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。
+ 目的地 3 BucketArn
类型:字符串
描述:(必需)要将流日志数据发布到的 Amazon S3 存储桶的 ARN。
+ FlowLogId
类型:字符串
描述:(必填)发布到要替换的 CloudWatch 日志的流日志的 ID。
+ MaxAggregationInterval
类型:整数
有效值:60 \$1 600
描述:(可选)捕获数据包流并聚合到流日志记录中的最长时间间隔(以秒为单位)。
+ TrafficType
类型:字符串
有效值:ACCEPT \$1 REJECT \$1 ALL
描述:(必需)要记录和发布的流日志数据的类型。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:CreateFlowLogs`
+ `ec2:DeleteFlowLogs`
+ `ec2:DescribeFlowLogs`
**文档步骤**
+ `aws:executeAwsApi` - 从您在 `FlowLogId` 参数中指定的值收集有关 VPC 的详细信息。
+ `aws:executeAwsApi` - 根据您为运行手册参数指定的值创建一个流日志。
+ `aws:assertAwsResourceProperty` - 验证新创建的流日志是否发布到 Amazon S3。
+ `aws:executeAwsApi`-删除发布到日志的流 CloudWatch 日志。
+ `aws:executeScript`-确认已删除发布到 CloudWatch 日志的流日志。
# `AWS-ReleaseElasticIP`
**描述**
使用分配 ID 释放指定的弹性 IP 地址。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-ReleaseElasticIP)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。
+ AllocationId
类型:字符串
描述:(必需)弹性 IP 地址的分配 ID。
# `AWS-RemoveNetworkACLUnrestrictedSSHRDP`
**描述**
`AWS-RemoveNetworkACLUnrestrictedSSHRDP`运行手册从指定的网络 ACL 中删除了所有网络访问控制列表 (ACL) 规则,这些规则允许从所有源地址到默认 SSH 和 RDP 端口的入口流量。包含与默认 SSH 和 RDP 端口重叠的端口范围的规则不会被删除。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-RemoveNetworkACLUnrestrictedSSHRDP)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。
+ NetworkAclId
类型:字符串
描述:(必填)要删除的网络 ACL 的 ID,这些规则允许从所有源地址到默认 SSH 和 RDP 端口的入口流量。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DeleteNetworkAclEntry`
+ `ec2:DescribeNetworkAcls`
**文档步骤**
+ `aws:executeScript` - 从您在 `SecurityGroupId` 参数中指定的安全组中移除所有允许流量来自任何源地址的入口规则。
**输出**
RemoveNaclEntriesAndVerify。 VerificationMessage -成功删除网络 ACL 规则的验证消息。
RemoveNaclEntriesAndVerify。 RulesDeletedAndApiResponses -已删除的网络 ACL 规则以及 `DeleteNetworkAclEntry` API 操作响应。
# `AWSConfigRemediation-RemoveUnrestrictedSourceIngressRules`
**描述**
`AWSConfigRemediation-RemoveUnrestrictedSourceIngressRules` 运行手册将从您指定的安全组中移除所有允许流量来自任何源地址的入口规则。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-RemoveUnrestrictedSourceIngressRules)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(必需)允许 Systems Manager Automation 代表您执行操作的 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。
+ SecurityGroupId
类型:字符串
描述:(必需)要从中移除入口规则的安全组的 ID,该入口规则允许流量来自任何源地址。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DescribeSecurityGroups`
+ `ec2:RevokeSecurityGroupIngress`
**文档步骤**
+ `aws:executeScript` - 从您在 `SecurityGroupId` 参数中指定的安全组中移除所有允许流量来自任何源地址的入口规则。
# `AWSConfigRemediation-RemoveVPCDefaultSecurityGroupRules`
**描述**
`AWSConfigRemediation-RemoveVPCDefaultSecurityGroupRules` 运行手册将从您指定的虚拟私有云(VPC)的默认安全组中移除所有规则。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-RemoveVPCDefaultSecurityGroupRules)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(必需)允许 Systems Manager Automation 代表您执行操作的 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。
+ GroupId
类型:字符串
描述:(必需)要从其中移除所有规则的安全组的 ID。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `ec2:DescribeSecurityGroups`
+ `ec2:RevokeSecurityGroupEgress`
+ `ec2:RevokeSecurityGroupIngress`
**文档步骤**
+ `aws:assertAwsResourceProperty` - 确认您在 `GroupId` 参数中指定的安全组命名为 default。
+ `aws:executeScript` - 从您在 `GroupId` 参数中指定的安全组中移除所有规则。
# `AWSSupport-SetupIPMonitoringFromVPC`
**描述**
`AWSSupport-SetupIPMonitoringFromVPC`在指定子网中创建亚马逊弹性计算云 (Amazon EC2) 实例,并通过持续运行 ping、MTR、traceroute 和 tracetcp 测试来监控选定的 IPs 目标IPv4 ( IPv6或)。结果存储在 Amazon CloudWatch Logs 日志中,并应用指标筛选器在 CloudWatch 控制面板中快速可视化延迟和丢包统计数据。
**附加信息**
CloudWatch 日志数据可用于网络故障排除和pattern/trends. Additionally, you can configure CloudWatch alarms with Amazon SNS notifications when packet loss and/or延迟达到阈值的分析。这些数据也可以在开案时使用 AWS 支持,以帮助快速隔离问题,并在调查网络问题时缩短解决时间。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-SetupIPMonitoringFromVPC)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。
+ CloudWatchLogGroupNamePrefix
类型:字符串
默认:`/AWSSupport-SetupIPMonitoringFromVPC`
描述:(可选)用于为测试结果创建的每个 CloudWatch 日志组的前缀。
+ CloudWatchLogGroupRetentionInDays
类型:字符串
有效值:1 \$1 3 \$1 5 \$1 7 \$1 14 \$1 30 \$1 60 \$1 90 \$1 120 \$1 150 \$1 180 \$1 365 \$1 400 \$1 545 \$1 731 \$1 1827 \$1 3653
默认:7
描述:(可选)要保留网络监控结果的天数。
+ InstanceType
类型:字符串
有效值:t2.micro \$1 t2.small \$1 t2.medium \$1 t2.large \$1 t3.micro \$1 t3.small \$1 t3.medium \$1 t3.large \$1 t4g.micro \$1 t4g.small \$1 t4g.medium \$1 t4g.large
默认:t3.micro
描述:(可选) EC2救援实例的 EC2 实例类型。推荐尺寸:t3.micro。
+ SubnetId
类型:字符串
描述:(必需)监控实例的子网 ID。请注意,如果您指定私有子网,则必须确保可以访问 Internet 才能允许监控实例设置测试(也就是说,安装 CloudWatch 日志代理,与 Systems Manager 交互和 CloudWatch)。
+ 目标 IPs
类型:字符串
描述:(必填)用逗号分隔的 IPv4s 和/或 IPv6s 要监视的列表。不允许使用空格。最大大小为 255 个字符。注意,如果提供的 IP 无效,则 Automation 将失败并回滚测试设置。
+ TestInstanceSecurityGroupId
类型:字符串
描述:(可选)测试实例的安全组 ID。如果未指定,则自动化会在创建实例期间创建一个实例。确保安全组允许对监控进行出站访问 IPs。
+ TestInstanceProfileName
类型:字符串
描述:(可选)测试实例的现有 IAM 实例配置文件的名称。如果未指定,则自动化会在创建实例期间创建一个实例。该角色必须具有以下权限:`logs:CreateLogStream``logs:DescribeLogGroups`、`logs:DescribeLogStreams`、`logs:PutLogEvents`和 AWS 托管策略`AmazonSSMManagedInstanceCore`。
+ TestInterval
类型:字符串
描述:(可选)测试间隔之间的分钟数。默认值为`1`分钟,最大值为`10`分钟。
+ RetainDashboardAndLogsOnDeletion
类型:字符串
描述:(可选)指定`False`在删除 AWS AWS CloudFormation 堆栈时删除 Amazon CloudWatch 控制面板和日志。默认值为 `True`。默认情况下,控制面板和日志会被保留,当不再需要它们时,需要手动将其删除。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
**警告**
建议传递`TestInstanceProfileName`参数或确保设置安全护栏,以防止滥用可变的 IAM 权限。
建议运行自动化的用户附加 A **mazon Role SSMAutomation I** AM 托管策略。此外,用户还必须将以下策略附加到其用户账户、组或角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:GetRole",
"iam:GetInstanceProfile",
"iam:DetachRolePolicy",
"iam:AttachRolePolicy",
"iam:PassRole",
"iam:AddRoleToInstanceProfile",
"iam:GetRolePolicy",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DeleteInstanceProfile",
"iam:PutRolePolicy",
"iam:TagRole"
],
"Resource": [
"arn:aws:iam::111122223333:role/SetupIPMonitoringFromVPC*",
"arn:aws:iam::111122223333:instance-profile/SetupIPMonitoringFromVPC*"
],
"Effect": "Allow"
},
{
"Action": [
"cloudformation:CreateStack",
"cloudformation:CreateChangeSet",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"cloudwatch:PutDashboard",
"cloudwatch:DeleteDashboards",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:CreateSecurityGroup",
"ec2:CreateLaunchTemplate",
"ec2:DeleteSecurityGroup",
"ec2:DescribeImages",
"ec2:DescribeSubnets",
"ec2:DescribeInstanceTypes",
"ec2:DescribeVpcs",
"ec2:DeleteLaunchTemplate",
"ec2:DeleteSecurityGroup",
"ec2:RunInstances",
"ec2:TerminateInstances",
"ec2:DescribeInstanceStatus",
"ec2:CreateTags",
"ec2:AssignIpv6Addresses",
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeSecurityGroups",
"ec2:DescribeLaunchTemplates",
"ec2:RevokeSecurityGroupEgress",
"logs:CreateLogGroup",
"logs:DeleteLogGroup",
"logs:PutMetricFilter",
"logs:PutRetentionPolicy",
"logs:TagResource",
"ssm:DescribeInstanceInformation",
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:SendCommand",
"ssm:ListCommands",
"ssm:ListCommandInvocations"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
如果提供了`TestInstanceProfileName`参数,则不需要以下 IAM 权限即可执行运行手册:
+ 我是:CreateRole
+ 我是:CreateInstanceProfile
+ 我是:DetachRolePolicy
+ 我是:AttachRolePolicy
+ 我是:AddRoleToInstanceProfile
+ 我是:RemoveRoleFromInstanceProfile
+ 我是:DeleteRole
+ 我是:DeleteRolePolicy
+ 我是:DeleteInstanceProfile
**文档步骤**
1. **`aws:executeAwsApi`**-描述提供的子网以获取 VPC ID 和 IPv6 CIDR 区块关联状态。
1. **`aws:executeScript`**-验证提供的目标在语法上是否正确 IPv4 和/或 IPv6 地址,获取所选实例类型的架构,并验证子网是否 IPs 存在 IPv6 池关联(如果有目标 IP)。 IPv6
1. **`aws:createStack`**-创建一个 AWS CloudFormation 堆栈,用于预置测试 Amazon EC2 实例、IAM 实例配置文件(如果未提供)、安全组(如果未提供)、 CloudWatch 日志组和 CloudWatch 控制面板。
(清理)如果步骤失败:
**`aws:executeScript`**-描述 CloudFormation 堆栈事件以确定失败原因。
**`aws:deleteStack`**-删除 CloudFormation 堆栈和所有相关资源。
1. **`aws:waitForAwsResourceProperty`**-等待 CloudFormation 堆栈完成创建。
(清理)如果步骤失败:
**`aws:executeScript`**-描述 CloudFormation 堆栈事件以确定失败原因。
**`aws:deleteStack`**-删除 CloudFormation 堆栈和所有相关资源。
1. **`aws:executeScript`**-描述用于获取测试实例 ID、安全组 ID、IAM 角色、实例配置文件和控制面板名称的 CloudFormation 堆栈资源。
(清理)如果步骤失败:
**`aws:executeScript`**-描述 CloudFormation 堆栈事件以确定失败原因。
**`aws:deleteStack`**-删除 CloudFormation 堆栈和所有相关资源。
1. **`aws:waitForAwsResourceProperty`** - 等待测试实例变为托管实例。
(清理)如果步骤失败:
**`aws:deleteStack`**-删除 CloudFormation 堆栈和所有相关资源。
1. **`aws:runCommand`**-在测试实例上安装 CloudWatch 代理。
(清理)如果步骤失败:
**`aws:deleteStack`**-删除 CloudFormation 堆栈和所有相关资源。
1. **`aws:runCommand`**-为所提供的每个脚本定义网络测试脚本(MTR、ping、tracepath 和 traceroute)。 IPs
(清理)如果步骤失败:
**`aws:deleteStack`**-删除 CloudFormation 堆栈和所有相关资源。
1. **`aws:runCommand`**-使用每 TestInterval 分钟运行一次 cronjobs 启动网络测试并安排后续执行。
(清理)如果步骤失败:
**`aws:deleteStack`**-删除 CloudFormation 堆栈和所有相关资源。
1. **`aws:runCommand`**-将 CloudWatch 代理配置为将测试结果从推送`/home/ec2-user/logs/`到 CloudWatch 日志。
(清理)如果步骤失败:
**`aws:deleteStack`**-删除 CloudFormation 堆栈和所有相关资源。
1. **`aws:runCommand`**-为中的测试结果配置日志轮换`/home/ec2-user/logs/`。
1. **`aws:executeScript`**-为 CloudFormation 堆栈创建的所有 CloudWatch 日志组设置保留策略。
1. **`aws:executeScript`**-为 ping 延迟和 ping 数据包丢失创建 CloudWatch 日志组指标过滤器。
(清理)如果步骤失败:
**`aws:deleteStack`**-删除 CloudFormation 堆栈和所有相关资源。
1. **`aws:executeScript`**-更新 CloudWatch 仪表板以包含用于显示 ping 延迟和 ping 数据包丢失统计信息的控件。
(清理)如果步骤失败:
**`aws:executeAwsApi`**-删除 CloudWatch 仪表板(如果存在)。
**`aws:deleteStack`**-删除 CloudFormation 堆栈和所有相关资源。
1. **`aws:branch`**-评估 SleepTime 参数。如果设置为`0`,则自动化将在不删除堆栈的情况下结束。
1. **`aws:sleep`**-等待指定的 SleepTime 持续时间后再删除 CloudFormation 堆栈。
1. **`aws:deleteStack`**-删除 CloudFormation 堆栈。根据 RetainDashboardAndLogsOnDeletion 参数, CloudWatch 控制面板和日志组要么保留,要么删除。
(清理)如果堆栈删除失败:
**`aws:executeScript`**-描述 CloudFormation 堆栈事件以确定删除失败的原因。
**输出**
updateCloudWatch仪表板。 StackUrl - CloudFormation 堆栈的网址。
updateCloudWatch仪表板。 DashboardUrl - CloudWatch 仪表板的网址。
updateCloudWatch仪表板。 DashboardName - CloudWatch 仪表板的名称。
updateCloudWatch仪表板。 LogGroups -创建的 CloudWatch 日志组列表。
describeStackResources。 HelperInstanceId -测试实例 ID。
describeStackResources。 StackName - CloudFormation 堆栈名称。
# `AWSSupport-TerminateIPMonitoringFromVPC`
**描述**
`AWSSupport-TerminateIPMonitoringFromVPC` 终止先前由 `AWSSupport-SetupIPMonitoringFromVPC` 启动的 IP 监控测试。将删除与指定测试 ID 相关的数据。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TerminateIPMonitoringFromVPC)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。
+ AutomationExecutionId
类型:字符串
描述:(必需)您之前运行 `AWSSupport-SetupIPMonitoringFromVPC` 运行手册时的自动化执行 ID。与该执行 ID 关联的所有资源都被删除。
+ InstanceId
类型:字符串
描述:(必需)监控实例的实例 ID。
+ SubnetId
类型:字符串
描述:(必需)监控实例的子网 ID。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
建议运行自动化的用户附加 A **mazon Role SSMAutomation I** AM 托管策略。此外,用户还必须将以下策略附加到其用户、组或角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:DetachRolePolicy",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteRole",
"iam:DeleteInstanceProfile",
"iam:DeleteRolePolicy"
],
"Resource": [
"arn:aws:iam::111122223333:role/AWSSupport/SetupIPMonitoringFromVPC_*",
"arn:aws:iam::111122223333:instance-profile/AWSSupport/SetupIPMonitoringFromVPC_*"
],
"Effect": "Allow"
},
{
"Action": [
"iam:DetachRolePolicy"
],
"Resource": [
"arn:aws:iam::aws:policy/service-role/AmazonSSMManagedInstanceCore"
],
"Effect": "Allow"
},
{
"Action": [
"cloudwatch:DeleteDashboards"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Action": [
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeSecurityGroups",
"ec2:DeleteSecurityGroup",
"ec2:TerminateInstances",
"ec2:DescribeInstanceStatus"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
**文档步骤**
1. `aws:assertAwsResourceProperty`-检查 AutomationExecutionId 并 InstanceId 与同一个测试相关。
1. `aws:assertAwsResourceProperty`-检查 SubnetId 并 InstanceId与同一个测试相关。
1. `aws:executeAwsApi` - 检索测试安全组。
1. `aws:executeAwsApi`-删除 CloudWatch 仪表板。
1. `aws:changeInstanceState` - 终止测试实例。
1. `aws:executeAwsApi` - 从角色中删除 IAM 实例配置文件。
1. `aws:executeAwsApi` - 删除自动化创建的 IAM 实例配置文件。
1. `aws:executeAwsApi`-从自动化创建的角色中删除 CloudWatch 内联策略。
1. `aws:executeAwsApi`-将 **Amazon SSMManaged InstanceCore** 托管策略与自动化创建的角色分离。
1. `aws:executeAwsApi` - 删除自动化创建的 IAM 角色。
1. `aws:executeAwsApi` - 删除自动化创建的安全组(如果存在)。
**输出**
无