本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # `AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2` **Description** `AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2` Runbook 會分析從 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體或彈性網路介面到 AWS 服務 端點的連線能力。不支援 IPv6。Runbook 會使用您為 `ServiceEndpoint` 參數指定的值來分析對端點的連線。如果在 VPC 中找不到 AWS PrivateLink 端點,則 Runbook 會使用目前 服務公有 IP 地址 AWS 區域。此自動化使用來自 Amazon Virtual Private Cloud 的 Reachability Analyzer。如需詳細資訊,請參閱 [Reachability Analyzer 中的什麼是 Reachability Analyzer?](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html)。 ** 此自動化會檢查下列項目: + 檢查您的虛擬私有雲端 (VPC) 是否設定為使用 Amazon 提供的 DNS 伺服器。 + 檢查您指定之 的 VPC AWS 服務 中是否存在 AWS PrivateLink 端點。如果找到端點,自動化會驗證`privateDns`屬性是否已開啟。 + 檢查 AWS PrivateLink 端點是否使用預設端點政策。 **考量** + 每個來源和目的地之間的分析執行都會向您收取費用。如需詳細資訊,請參閱 [Amazon VPC 定價](https://aws.amazon.com/vpc/pricing/)。 + 在自動化期間,會建立網路洞見路徑和網路洞見分析。如果自動化成功完成,執行手冊會刪除這些資源 。如果清除步驟失敗,則 Runbook 不會刪除網路洞見路徑,您將需要手動將其刪除。如果您不手動刪除網路洞見路徑,它會繼續計入您 的配額 AWS 帳戶。如需 Reachability Analyzer 配額的詳細資訊,請參閱 [Reachability Analyzer 中的 Reachability Analyzer 配額](https://docs.aws.amazon.com//vpc/latest/reachability/reachability-analyzer-limits.html)。 ** + 即使 Reachability Analyzer 傳回 ,使用代理、本機 DNS 解析程式或主機檔案等作業系統層級組態也可能會影響連線能力`PASS`。 + 檢閱 Reachability Analyzer 執行之所有檢查的評估。如果有任何檢查傳回狀態為 `FAIL`,即使整體連線能力檢查傳回狀態為 ,這可能會影響連線能力`PASS`。 [執行此自動化 (主控台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2) **文件類型**  自動化 **擁有者** Amazon **平台** Linux、macOS、 Windows **參數** + AutomationAssumeRole 類型:字串 描述:(選用) 允許 Systems Manager Automation 代表您執行動作的 (IAM) 角色的 AWS Identity and Access Management Amazon Resource Name (ARN)。如果未指定角色,Systems Manager Automation 會使用啟動此 Runbook 之使用者的許可。 + 來源 類型:字串 描述:(必要) 您要分析連線能力的 Amazon EC2 執行個體或網路界面 ID。 + ServiceEndpoint 類型:字串 描述:(必要) 您要分析連線能力的服務端點主機名稱。 + RetainVpcReachabilityAnalysis 類型:字串 預設:false 描述:(選用) 判斷是否保留網路洞見路徑和建立的相關分析。根據預設,用於分析連線能力的資源會在成功分析後刪除。如果您選擇保留分析,則 Runbook 不會刪除分析,而且您可以在 Amazon VPC 主控台中將其視覺化。主控台連結可在自動化輸出中使用。 **必要的 IAM 許可** `AutomationAssumeRole` 參數需要下列動作才能成功使用 Runbook。 + `ec2:CreateNetworkInsightsPath` + `ec2:DeleteNetworkInsightsAnalysis` + `ec2:DeleteNetworkInsightsPath` + `ec2:DescribeAvailabilityZones` + `ec2:DescribeCustomerGateways` + `ec2:DescribeDhcpOptions` + `ec2:DescribeInstances` + `ec2:DescribeInternetGateways` + `ec2:DescribeManagedPrefixLists` + `ec2:DescribeNatGateways` + `ec2:DescribeNetworkAcls` + `ec2:DescribeNetworkInsightsAnalyses` + `ec2:DescribeNetworkInsightsPaths` + `ec2:DescribeNetworkInterfaces` + `ec2:DescribePrefixLists` + `ec2:DescribeRegions` + `ec2:DescribeRouteTables` + `ec2:DescribeSecurityGroups` + `ec2:DescribeSubnets` + `ec2:DescribeTransitGatewayAttachments` + `ec2:DescribeTransitGatewayPeeringAttachments` + `ec2:DescribeTransitGatewayConnects` + `ec2:DescribeTransitGatewayRouteTables` + `ec2:DescribeTransitGateways` + `ec2:DescribeTransitGatewayVpcAttachments` + `ec2:DescribeVpcAttribute` + `ec2:DescribeVpcEndpoints` + `ec2:DescribeVpcEndpointServiceConfigurations` + `ec2:DescribeVpcPeeringConnections` + `ec2:DescribeVpcs` + `ec2:DescribeVpnConnections` + `ec2:DescribeVpnGateways` + `ec2:GetManagedPrefixListEntries` + `ec2:GetTransitGatewayRouteTablePropagations` + `ec2:SearchTransitGatewayRoutes` + `ec2:StartNetworkInsightsAnalysis` + `elasticloadbalancing:DescribeListeners` + `elasticloadbalancing:DescribeLoadBalancerAttributes` + `elasticloadbalancing:DescribeLoadBalancers` + `elasticloadbalancing:DescribeRules` + `elasticloadbalancing:DescribeTags` + `elasticloadbalancing:DescribeTargetGroups` + `elasticloadbalancing:DescribeTargetHealth` + `tiros:CreateQuery` + `tiros:GetQueryAnswer` + `tiros:GetQueryExplanation` **文件步驟** 1. `aws:executeScript`:嘗試解析主機名稱來驗證服務端點。 1. `aws:executeScript`:收集 VPC 和子網路的詳細資訊。 1. `aws:executeScript`:評估 VPC 的 DNS 組態。 1. `aws:executeScript`:評估 VPC 端點檢查。 1. `aws:executeScript`:尋找要連線至公有服務端點的網際網路閘道。 1. `aws:executeScript`:決定用於連線能力分析的目的地。 1. `aws:executeScript`:使用 Reachability Analyzer 分析來源到端點的連線能力,並在分析成功時清除資源。 1. `aws:executeScript`:產生連線能力評估報告。 1. `aws:executeScript`:以 JSON 產生輸出。 **輸出** + `generateReport.EvalReport` - 自動化以文字格式執行的檢查結果。 + `generateJsonOutput.Output` - JSON 格式結果的最小版本。