本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon Managed Workflows for Apache Airflow
AWS Systems Manager 自動化為 Amazon Managed Workflows for Apache Airflow 提供預先定義的 Runbook。如需有關執行手冊的詳細資訊,請參閱 [Working with runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html)。如需如何檢視 Runbook 內容的詳細資訊,請參閱 [檢視 Runbook 內容](automation-runbook-reference.md#view-automation-json)。
**Topics**
+ [`AWSSupport-TroubleshootMWAAEnvironmentCreation`](automation-troubleshoot-mwaa-environment-creation.md)
# `AWSSupport-TroubleshootMWAAEnvironmentCreation`
**Description**
`AWSSupport-TroubleshootMWAAEnvironmentCreation` Runbook 提供偵錯 Amazon Managed Workflows for Apache Airflow (Amazon MWAA) 環境建立問題的資訊,並盡最大努力執行檢查以及記錄的原因,以協助識別故障。
**如何運作?**
Runbook 會執行下列步驟:
+ 擷取 Amazon MWAA 環境的詳細資訊。
+ 驗證執行角色許可。
+ 檢查環境是否具有使用所提供 AWS KMS 金鑰進行記錄的許可,以及是否存在必要的 CloudWatch 日誌群組。
+ 剖析所提供日誌群組中的日誌,以找出任何錯誤。
+ 檢查網路組態,以確認 Amazon MWAA 環境是否可以存取所需的端點。
+ 使用調查結果產生報告。
[執行此自動化 (主控台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootMWAAEnvironmentCreation)
**文件類型**
自動化
**擁有者**
Amazon
**平台**
/
**必要的 IAM 許可**
`AutomationAssumeRole` 參數需要下列動作才能成功使用 Runbook。
+ `airflow:GetEnvironment`
+ `cloudtrail:LookupEvents`
+ `ec2:DescribeNatGateways`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeRouteTables`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcEndpoints`
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:GetRolePolicy`
+ `iam:ListAttachedRolePolicies`
+ `iam:ListRolePolicies`
+ `iam:SimulateCustomPolicy`
+ `kms:GetKeyPolicy`
+ `kms:ListAliases`
+ `logs:DescribeLogGroups`
+ `logs:FilterLogEvents`
+ `s3:GetBucketAcl`
+ `s3:GetBucketPolicyStatus`
+ `s3:GetPublicAccessBlock`
+ `s3control:GetPublicAccessBlock`
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
**指示**
請依照下列步驟設定自動化:
1. 在文件下的 Systems Manager [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootMWAAEnvironmentCreation/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootMWAAEnvironmentCreation/description)中導覽至 。
1. 選擇 Execute automation (執行自動化)。
1. 針對輸入參數,輸入下列內容:
+ **AutomationAssumeRole (選用):**
(IAM) 角色的 Amazon Resource Name AWS AWS Identity and Access Management (ARN),允許 Systems Manager Automation 代表您執行動作。如果未指定角色,Systems Manager Automation 會使用啟動此 Runbook 之使用者的許可。
+ **EnvironmentName (必要):**
您要評估的 Amazon MWAA 環境名稱。
![\[Input parameters form with AutomationAssumeRole and EnvironmentName fields for AWS Systems Manager Automation.\]](http://docs.aws.amazon.com/zh_tw/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-mwaa-environment-creation_input_parameters.png)
1. 選取執行。
1. 自動化會啟動。
1. 文件會執行下列步驟:
+ **`GetMWAAEnvironmentDetails:`**
擷取 Amazon MWAA 環境的詳細資訊。如果此步驟失敗,自動化程序會停止並顯示為 `Failed`。
+ **`CheckIAMPermissionsOnExecutionRole:`**
驗證執行角色是否具有 Amazon MWAA、Amazon S3、CloudWatch Logs、CloudWatch 和 Amazon SQS 資源的必要許可。如果偵測到客戶受管 AWS Key Management Service (AWS KMS) 金鑰,自動化會驗證金鑰的必要許可。此步驟使用 `iam:SimulateCustomPolicy` API 來確定自動化執行角色是否符合所有必要的許可。
+ **`CheckKMSPolicyOnKMSKey:`**
檢查 AWS KMS 金鑰政策是否允許 Amazon MWAA 環境使用金鑰來加密 CloudWatch Logs。如果 AWS KMS 金鑰 AWS受到管理,自動化會略過此檢查。
+ **`CheckIfRequiredLogGroupsExists:`**
檢查 Amazon MWAA 環境是否存在所需的 CloudWatch 日誌群組。如果沒有,自動化會檢查 CloudTrail 是否有 `CreateLogGroup`和 `DeleteLogGroup`事件。此步驟也會檢查 `CreateLogGroup`事件。
+ **`BranchOnLogGroupsFindings:`**
根據與 Amazon MWAA 環境相關的 CloudWatch 日誌群組存在的分支。如果至少有一個日誌群組存在,自動化會剖析它以找出錯誤。如果沒有日誌群組,自動化會略過下一個步驟。
+ **`CheckForErrorsInLogGroups:`**
剖析 CloudWatch 日誌群組以找出錯誤。
+ **`GetRequiredEndPointsDetails:`**
擷取 Amazon MWAA 環境使用的服務端點。
+ **`CheckNetworkConfiguration:`**
驗證 Amazon MWAA 環境的網路組態是否符合需求,包括檢查安全群組、網路 ACLs、子網路和路由表組態。
+ **`CheckEndpointsConnectivity:`**
調用`AWSSupport-ConnectivityTroubleshooter`子自動化,以驗證 Amazon MWAA 與所需端點的連線能力。
+ **`CheckS3BlockPublicAccess:`**
檢查 Amazon MWAA 環境的 Amazon S3 儲存貯體是否`Block Public Access`已啟用,並檢閱帳戶的整體 Amazon S3 封鎖公開存取設定。
+ **`GenerateReport:`**
從自動化收集資訊,並列印每個步驟的結果或輸出。
1. 完成後,請檢閱輸出區段以取得執行的詳細結果:
+ **檢查 Amazon MWAA 環境執行角色許可:**
驗證執行角色是否具有 Amazon MWAA、Amazon S3、CloudWatch Logs、CloudWatch 和 Amazon SQS 資源的必要許可。如果偵測到客戶受管 AWS KMS 金鑰,自動化會驗證金鑰的必要許可。
+ **檢查 Amazon MWAA 環境 AWS KMS 金鑰政策:**
驗證執行角色是否擁有 Amazon MWAA、Amazon S3、CloudWatch Logs、CloudWatch 和 Amazon SQS 資源的必要許可。此外,如果偵測到客戶受管 AWS KMS 金鑰,自動化會檢查金鑰的必要許可。
+ **檢查 Amazon MWAA 環境 CloudWatch 日誌群組:**
檢查 Amazon MWAA 環境是否存在所需的 CloudWatch Log Groups。如果沒有,自動化接著會檢查 CloudTrail 以尋找 `CreateLogGroup`和 `DeleteLogGroup`事件。
+ **檢查 Amazon MWAA 環境路由表:**
檢查 Amazon MWAA 環境中的 Amazon VPC 路由表是否已正確設定。
+ **檢查 Amazon MWAA 環境安全群組:**
檢查 Amazon MWAA 環境 Amazon VPC 安全群組是否已正確設定。
+ **檢查 Amazon MWAA 環境網路 ACLs:**
檢查 Amazon MWAA 環境中的 Amazon VPC 安全群組是否已正確設定。
+ **檢查 Amazon MWAA 環境子網路:**
驗證 Amazon MWAA 環境的子網路是否為私有。
+ **檢查 Amazon MWAA 環境所需的端點連線:**
驗證 Amazon MWAA 環境是否可以存取所需的端點。為此,自動化會叫用`AWSSupport-ConnectivityTroubleshooter`自動化。
+ **檢查 Amazon MWAA 環境 Amazon S3 儲存貯體:**
檢查 Amazon MWAA 環境的 Amazon S3 儲存貯體是否`Block Public Access`已啟用,並檢閱帳戶的 Amazon S3 封鎖公開存取設定。
+ **檢查 Amazon MWAA 環境 CloudWatch 日誌群組錯誤:**
剖析 Amazon MWAA 環境的現有 CloudWatch 日誌群組以找出錯誤。
![\[Troubleshooting report for MMAA environment showing successful checks and connectivity tests.\]](http://docs.aws.amazon.com/zh_tw/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-mwaa-environment-creation_outputs.png)
**參考**
Systems Manager Automation
+ [執行此自動化 (主控台)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootMWAAEnvironmentCreation/description)
+ [執行自動化](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [設定 自動化](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [支援自動化工作流程登陸頁面](https://aws.amazon.com/premiumsupport/technology/saw/)