AWSSupport-TroubleshootECSTaskFailedToStart - AWS Systems Manager 자동화 실행서 참조

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWSSupport-TroubleshootECSTaskFailedToStart

설명

AWSSupport-TroubleshootECSTaskFailedToStart 실행서는 Amazon ECS 클러스터에서 Amazon Elastic Container Service (Amazon ECS) 작업이 시작되지 않은 이유에 대한 문제를 해결하는 데 도움이 됩니다. 시작에 실패한 작업 AWS 리전 과 동일한에서이 실행서를 실행해야 합니다. 실행서는 작업 시작을 방해할 수 있는 다음과 같은 일반적인 문제를 분석합니다.

  • 구성된 컨테이너 레지스트리에 대한 네트워크 연결

  • 작업 실행 역할에 필요한 IAM 권한 누락

  • VPC 엔드포인트 연결

  • 보안 그룹 규칙 구성

  • AWS Secrets Manager 보안 암호 참조

  • 로깅 구성

참고

분석 결과 네트워크 연결을 테스트해야 한다고 판단되면 Lambda 함수와 필수 IAM 역할이 계정에 생성됩니다. 이러한 리소스는 실패한 작업의 네트워크 연결을 시뮬레이션하는 데 사용됩니다. 자동화를 통해 더 이상 필요하지 않은 리소스는 삭제됩니다. 하지만, 자동화로 리소스가 삭제되지 않는 경우 수동으로 삭제해야 합니다.

이 자동화 실행(콘솔)

문서 유형

자동화

소유자

Amazon

플랫폼

Linux, macOS, Windows

파라미터

  • AutomationAssumeRole

    유형: 문자열

    설명: (선택 사항) 사용자를 대신하여 Systems Manager Automation을 통해 작업을 수행할 수 있도록 허용하는 AWS Identity and Access Management (IAM) 역할의 Amazon 리소스 이름(ARN)입니다. 역할을 지정하지 않은 경우, Systems Manager Automation에서는 이 실행서를 시작하는 사용자의 권한을 사용합니다.

  • ClusterName

    유형: 문자열

    설명: (필수) 작업이 시작되지 않은 Amazon ECS 클러스터의 이름입니다.

  • CloudwatchRetentionPeriod

    유형: 정수

    설명: (선택 사항) Amazon CloudWatch Logs에 Lambda 함수 로그를 저장하는 보존 기간(일 단위)입니다. 이는 분석 결과 네트워크 연결성을 테스트해야 한다고 판단되는 경우에만 필요합니다.

    유효한 값: 1 | 3 | 5 | 7 | 14 | 30 | 60 | 90

    기본값: 30

  • TaskId

    유형: 문자열

    설명: (필수) 실패한 작업의 ID입니다. 가장 최근에 실패한 작업을 사용하십시오.

필수 IAM 권한

실행서를 성공적으로 사용하려면 AutomationAssumeRole 파라미터에 다음 작업이 필요합니다.

  • cloudtrail:LookupEvents

  • ec2:DeleteNetworkInterface

  • ec2:DescribeInstances

  • ec2:DescribeInstanceAttribute

  • ec2:DescribeIamInstanceProfileAssociations

  • ec2:DescribeSecurityGroups

  • ec2:DescribeNetworkAcls

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribeRouteTables

  • ec2:DescribeSubnets

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcs

  • ecr:DescribeImages

  • ecr:GetRepositoryPolicy

  • ecs:DescribeContainerInstances

  • ecs:DescribeServices

  • ecs:DescribeTaskDefinition

  • ecs:DescribeTasks

  • iam:AttachRolePolicy

  • iam:CreateRole

  • iam:DeleteRole

  • iam:DetachRolePolicy

  • iam:GetInstanceProfile

  • iam:GetRole

  • iam:ListRoles

  • iam:PassRole

  • iam:SimulateCustomPolicy

  • iam:SimulatePrincipalPolicy

  • kms:DescribeKey

  • lambda:CreateFunction

  • lambda:DeleteFunction

  • lambda:GetFunctionConfiguration

  • lambda:InvokeFunction

  • lambda:TagResource

  • logs:DescribeLogGroups

  • logs:PutRetentionPolicy

  • secretsmanager:DescribeSecret

  • ssm:DescribeParameters

  • sts:GetCallerIdentity

문서 단계

  • aws:executeScript - 자동화를 시작한 사용자 또는 역할에 필요한 IAM 권한이 있는지 확인합니다. 이 실행서를 사용할 수 있는 충분한 권한이 없는 경우, 누락된 필수 권한이 자동화 출력에 포함됩니다.

  • aws:branch - 실행서에 필요한 모든 작업에 대한 권한이 있는지 여부를 기반으로 분기합니다.

  • aws:executeScript - 분석 결과 네트워크 연결을 테스트해야 한다고 판단되면 VPC에서 Lambda 함수를 생성합니다.

  • aws:branch - 이전 단계의 결과를 기반으로 분기합니다.

  • aws:executeScript - 작업 시작 실패의 가능한 원인을 분석합니다.

  • aws:executeScript - 이 자동화로 생성된 리소스를 삭제합니다.

  • aws:executeScript - 분석 결과를 콘솔에 반환하도록 자동화 출력의 형식을 지정합니다. 이 단계 이후에 자동화가 완료되기 전에 분석을 검토할 수 있습니다.

  • aws:branch - Lambda 함수 및 관련 리소스가 생성되었고 삭제해야 하는지 여부를 기반으로 분기합니다.

  • aws:sleep - Lambda 함수의 탄력적 네트워크 인터페이스를 삭제할 수 있도록 30분 동안 휴면 모드로 전환합니다.

  • aws:executeScript - Lambda 함수 네트워크 인터페이스를 삭제합니다.

  • aws:executeScript - Lambda 함수 네트워크 인터페이스 삭제 단계의 출력 형식을 지정합니다.