AWS SAW を広めたい - I want to Spreading AWS SAW

AWS SAW を広めたい [color is【クラウドLT⼤会vol.10】] 株式会社サーバーワークス市野和明（JAWS-UG 神⼾） 2024-08-28

⽬次 1. ⾃⼰紹介 2. 本題 3. まとめ 4. 余談

⾃⼰紹介

4 はじめまして名前︓市野和明（いちのかずあき）所属︓株式会社サーバーワークスマネージドサクセス部テクニカルサポート課好きな AWS
サービス︓ AWS CLI （テクサポとして）嫌いな AWS サービス︓ Amazon FSx for Windows 趣味︓ミクが好き、酒を飲む @kazzpapa3

5 過去の登壇など AWS のユーザーグループである JAWS-UG を中⼼に私が普段サポート業務やってて思う、恨みつらみもっとこうすればいいのにという思いを話したりしています。 AWS
に限らずなんらかのサポートに問い合わせをするロールの⽅はご参考にしていただけると幸いです https://speakerdeck.com/kazzpapa3 AWS パートナー企業でテクニカルサポートに従事して2年経ったので思うところをまとめてみた https://speakerdeck.com/kazzpapa3/aws-patonaqi-ye-detekunikarusapotonicong-shi- site2nian-jing-tutanodesi-utokorowomatometemita AWS Support のススメ- AWS パートナー企業のテクサポの中の⼈⽬線 – https://speakerdeck.com/kazzpapa3/aws-support-nosusume-aws-patonaqi-ye- notekusaponozhong-noren-mu-xian

本題

7 AWS SAW︖ 正式名称は AWS Support Automation Workflows というそうです。

8 AWS SAW︖ 正式名称は AWS Support Automation Workflows というそうです。 2024年3⽉13
に開催された AWS Expert Online でも取り上げられていました。 AWS の中の⽅が登壇・解説されているので、今⽇の話もほぼここを⾒ればOK https://www.youtube.com/watch?v=5vokZAudVIE

に開催された AWS Expert Online でも取り上げられていました。 AWS の中の⽅が登壇・解説されているので、今⽇の話もほぼここを⾒ればOK https://www.youtube.com/watch?v=5vokZAudVIE ちなみに、上記の AWS Expert Online の中では AWS SAW（ソウ）と発⾳されていました。

に開催された AWS Expert Online でも取り上げられていました。 AWS の中の⽅が登壇・解説されているので、今⽇の話もほぼここを⾒ればOK https://www.youtube.com/watch?v=5vokZAudVIE ちなみに、上記の AWS Expert Online の中では AWS SAW（ソウ）と発⾳されていました。なお、後のページ以降で AWS SAW ランブックと呼んでいますが、実体は Systems Manager Automation runbook となります。

11 AWS SAW の概要これまでに AWS サポートでお客様の課題を解決して得たベストプラクティスをもとに AWS サポートエンジニアリングによって作成されたもの

12 AWS SAW の概要これまでに AWS サポートでお客様の課題を解決して得たベストプラクティスをもとに AWS サポートエンジニアリングによって作成されたもの
そのため「AWS サポート」のサービスページの下層ページとして AWS SAW のページが⽤意されています。 AWS Support Automation Workflows (SAW) https://aws.amazon.com/jp/premiumsupport/technology/saw/

13 AWS SAW ランブックの探し⽅① 前ページの URL へアクセスすると、ページ下部に「ユースケース」セクションがあり、⽬的に応じた AWS SAW
ランブックを探すことが可能です。

14 AWS SAW ランブックの探し⽅② その他、実体が Systems Manager Automation Runbook であることから
Systems Manager Automation runbook reference ページでも検索可能です。 https://docs.aws.amazon.com/systems-manager-automation- runbooks/latest/userguide/automation-runbook-reference.html

15 AWS SAW ランブックの探し⽅② Systems Manager Automation runbook reference ページ内で
ランブック名に「AWSSupport-」あるいは「AWSPremiumSupport-」の接頭辞を持つランブックが AWS SAW ランブックに相当します。 AWSSupport-を接頭辞にもつランブックの例 AWSSupport-CheckXenToNitroMigrationRequirements AWSPremiumSupport-を接頭辞にもつランブックの例 AWSPremiumSupport-ChangeInstanceTypeIntelToAMD https://docs.aws.amazon.com/systems-manager-automation- runbooks/latest/userguide/automation-aws-changeinstancetypeinteltoamd.html https://docs.aws.amazon.com/systems-manager-automation- runbooks/latest/userguide/automation-awssupport- checkxentonitromigrationrequirements.html

16 AWS SAW ランブックの探し⽅② Systems Manager Automation runbook reference ページ内で
ランブック名に「AWSSupport-」あるいは「AWSPremiumSupport-」の接頭辞を持つランブックが AWS SAW ランブックに相当します。 AWSSupport-を接頭辞にもつランブックの例 AWSSupport-CheckXenToNitroMigrationRequirements https://docs.aws.amazon.com/systems-manager-automation- runbooks/latest/userguide/automation-awssupport- checkxentonitromigrationrequirements.html AWSPremiumSupport- 【注意点】 AWSPremiumSupport- の接頭辞を持つランブックの実⾏にはプレミアムサポート※ のサポート契約が必要 ※ビジネスプラン、エンタープライズプラン AWSPremiumSupport-を接頭辞にもつランブックの例 AWSPremiumSupport-ChangeInstanceTypeIntelToAMD https://docs.aws.amazon.com/systems-manager-automation- runbooks/latest/userguide/automation-aws-changeinstancetypeinteltoamd.html

17 いずれの⽅法もいいのですが… ユースケースや、AWS サービスごとに確認しなければならず、⼀覧になっていないため少し探しにくい（進化の早い AWS では網羅的なページがないのはあるあるではありますが…）

18 いずれの⽅法もいいのですが… ユースケースや、 AWS サービスごとに確認しなければならず、⼀覧になっていないため少し探しにくい（進化の早い AWS では網羅的なページがないのはあるあるではありますが…）なので、⼀覧にしてみました。
AWS SAW（AWS Support Automation Workflows）というソリューションを知ったのでまとめてみた https://blog.serverworks.co.jp/summary-about-aws-saw

19 いずれの⽅法もいいのだが… AWS サービスごとに確認しなければならず、⼀覧になっていないため少し探しにくい（進化の早い AWS では網羅的なページがないのはあるあるではありますが…）なので、⼀覧にしてみました。 AWS
SAW（AWS Support Automation Workflows）というソリューションを知ったのでまとめてみた https://blog.serverworks.co.jp/summary-about-aws-saw 上記のブログ執筆時には 65 の AWS SAW ランブックがあり、 2024年8⽉25⽇に再度確認したところ 13個増えて 78 の AWS SAW ランブックを確認しました。

20 # AWS サービスランブック名概要 1 AWS Batch AWSSupport-
TroubleshootAWSBatchJob AWS バッチジョブが RUNNABLE からSTARTING ステータスに進⾏するのを妨げる問題のトラブルシューティングに役⽴ちます。 2 AWS CloudFormation AWSSupport- TroubleshootCFNCustomResou rce AWS CloudFormation スタックがカスタムリソースの作成、更新、または削除に失敗した理由を診断するのに役⽴ちます。 3 AWS CodeDeploy AWSSupport- TroubleshootCodeDeploy Amazon Elastic Compute Cloud (Amazon EC2) インスタンスで AWS CodeDeploy デプロイが失敗した理由を診断するのに役⽴ちます。 4 AWS Config AWSSupport-SetupConfig AWS Identity and Access Management (IAM) サービスにリンクされたロール、AWS Config を利⽤した設定レコーダー、および AWS Config が設定スナップショットと設定履歴ファイルを送信する Amazon Simple Storage Service (Amazon S3) バケットを使⽤した配信チャネルを作成します。 5 AWS Directory Service AWSSupport- TroubleshootADConnectorConn ectivity AD コネクタの次の前提条件を検証します。・必要なトラフィックが、AD コネクタに関連付けられたセキュリティグループおよびネットワークアクセスコントロールリスト (ACL) ルールによって許可されているかどうかを確認します。・ AWS Systems Manager、AWS Security Token Service、および Amazon CloudWatch インターフェイスの VPC エンドポイントが AD コネクタと同じ Virtual Private Cloud (VPC) 内に存在するかどうかを確認します。 6 AWS Directory Service AWSSupport- TroubleshootDirectoryTrust AWS Managed Microsoft AD と Microsoft Active Directory の間の信頼作成の問題を診断します。 7 Amazon EBS AWSSupport- AnalyzeEBSResourceUsage Amazon Elastic Block Store (Amazon EBS) のリソース使⽤状況を分析するために使⽤されます。ボリュームの使⽤状況を分析し、特定の AWS リージョンで放棄されたボリューム、イメージ、スナップショットを特定します。 8 Amazon EBS AWSSupport- CalculateEBSPerformanceMetri cs パフォーマンスメトリクスを計算して CloudWatch ダッシュボードに公開することで、Amazon EBS のパフォーマンスの問題を診断するのに役⽴ちます。 9 Amazon EBS AWSSupport- ModifyEBSSnapshotPermission 複数の Amazon Elastic Block Store (Amazon EBS) スナップショットのアクセス許可を変更するのに役⽴ちます。技術ブログから抜粋（2024-08-25時点／常に AWS 最新情報を優先します）

21 # AWS サービスランブック名概要 10 Amazon EC2 AWSSupport-
ActivateWindowsWithAmazonL icense Amazon が提供するライセンスを使⽤して Windows Server の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスをアクティブ化します。 11 Amazon EC2 AWSSupport- AnalyzeAWSEndpointReachabili tyFromEC2 Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは Elastic Network Interface から AWS サービスエンドポイントへの接続を分析します。 12 Amazon EC2 AWSSupport- CheckXenToNitroMigrationReq uirements Amazon Elastic Compute Cloud (Amazon EC2) インスタンスが、インスタンスタイプを Xen タイプのインスタンスから Nitro ベースのインスタンスタイプに正常に変更するための前提条件を満たしていることを検証します。 13 Amazon EC2 AWSSupport- ConfigureEC2Metadata Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのインスタンスメタデータサービス (IMDS) オプションを設定するのに役⽴ちます。 14 Amazon EC2 AWSSupport-CopyEC2Instance Knowledge Center の記事「EC2 インスタンスを別のサブネット、アベイラビリティーゾーン、または VPC に移動するにはどうすればよいですか?」で概説されている⼿順の⾃動化されたソリューションを提供します。 15 Amazon EC2 AWSSupport- EnableWindowsEC2SerialConso le Amazon EC2 Windows インスタンスで Amazon EC2 シリアルコンソール、特別管理コンソール (SAC)、およびブートメニューを有効にするのに役⽴ちます。 16 Amazon EC2 AWSSupport- ExecuteEC2Rescue EC2Rescue ツールを使⽤して、Linux または Windows Server ⽤の指定された Amazon Elastic Compute Cloud (Amazon EC2) インスタンスとの⼀般的な接続の問題をトラブルシューティングし、可能であれば修復します。 17 Amazon EC2 AWSSupport-ListEC2Resources Amazon EC2 インスタンスと、指定した AWS リージョンの Amazon Elastic Block Store (Amazon EBS) ボリューム、 Elastic IP アドレス、Amazon EC2 Auto Scaling グループなどの関連リソースに関する情報を返します。 18 Amazon EC2 AWSSupport- ManageRDPSettings RDP ポートやネットワーク層認証 (NLA) などの⼀般的なリモートデスクトッププロトコル (RDP) 設定を管理できます。 19 Amazon EC2 AWSSupport- ManageWindowsService ターゲットインスタンス上の Windows サービスを停⽌、開始、再起動、⼀時停⽌、または無効にすることができます。 20 Amazon EC2 AWSSupport- MigrateEC2ClassicToVPC Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを EC2-Classic から Virtual Private Cloud (VPC) に移⾏します。Amazon Elastic Block Store (Amazon EBS) ルートボリュームを使⽤したハードウェア仮想マシン (HVM) 仮想化タイプの Amazon EC2 インスタンスの移⾏をサポートします。技術ブログから抜粋（2024-08-25時点／常に AWS 最新情報を優先します）

MigrateXenToNitroLinux Amazon Elastic Compute Cloud (Amazon EC2) Linux Xen インスタンスを複製、準備し、Nitro インスタンスタイプに移⾏します。 22 Amazon EC2 AWSSupport-ResetAccess 指定された EC2 インスタンスで EC2Rescue ツールを使⽤し、EC2 コンソール (Windows) を使⽤してパスワード復号化を再度有効にするか、新しい SSH キーペア (Linux) を⽣成して追加します。キーペアを紛失した場合、この⾃動化により、所有するキーペア (Windows) で新しい EC2 インスタンスを起動するために使⽤できる、パスワードが有効な AMI が作成されます。 23 Amazon EC2 AWSSupport- ResetLinuxUserPassword ローカルオペレーティングシステム (OS) ユーザーのパスワードをリセットするのに役⽴ちます。この Runbook は、シリアルコンソールを使⽤して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアクセスする必要があるユーザーに特に役⽴ちます。Runbook は、AWS アカウントに⼀時的な Amazon EC2 インスタンスを作成し、パスワードを含む AWS Secrets Manager シークレット値を取得するアクセス許可を持つ AWS Identity and Access Management (IAM) ロールを作成します。 24 Amazon EC2 AWSSupport- RestoreEC2InstanceFromSnaps hot ルートボリュームの動作中の Amazon Elastic Block Store (Amazon EBS) スナップショットから Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを特定して復元するのに役⽴ちます。 25 Amazon EC2 AWSSupport- SendLogBundleToS3Bucket EC2Rescue ツールによって⽣成されたログバンドルをターゲットインスタンスから指定された S3 バケットにアップロードします。Runbook は、ターゲットインスタンスのプラットフォームに基づいて、プラットフォーム固有のバージョンの EC2Rescue をインストールします。次に、EC2Rescue を使⽤して、利⽤可能なすべてのオペレーティングシステム (OS) ログを収集します。 26 Amazon EC2 AWSSupport- StartEC2RescueWorkflow インスタンスをレスキューするために作成されたヘルパーインスタンス上で、提供された Base64 でエンコードされたスクリプト (Bash または Powershell) を実⾏します。 27 Amazon EC2 AWSSupport- TroubleshootEC2InstanceConn ect Amazon EC2 Instance Connect を使⽤した Amazon Elastic Compute Cloud (Amazon EC2) インスタンスへの接続を妨げるエラーの分析と検出に役⽴ちます。サポートされていない Amazon Machine Image (AMI)、OS レベルのパッケージのインストールまたは構成の⽋落、AWS Identity and Access Management (IAM) のアクセス許可の⽋落、またはネットワーク構成の問題によって引き起こされる問題を特定します。 28 Amazon EC2 AWSSupport-TroubleshootRDP ユーザーは、RDP ポート、ネットワーク層認証 (NLA)、Windows ファイアウォールプロファイルなど、リモートデスクトッププロトコル (RDP) 接続に影響を与える可能性があるターゲットインスタンスの共通設定を確認または変更できます。 29 Amazon EC2 AWSSupport-TroubleshootSSH Linux ⽤の Amazon EC2Rescue ツールをインストールし、EC2Rescue ツールを使⽤して、SSH 経由の Linux マシンへのリモート接続を妨げる⼀般的な問題を確認または修正しようとします。技術ブログから抜粋（2024-08-25時点／常に AWS 最新情報を優先します）

TroubleshootSUSERegistration Amazon Elastic Compute Cloud (Amazon EC2) SUSE Linux Enterprise Server インスタンスを SUSE Update Infrastructure に登録できなかった理由を特定するのに役⽴ちます。 31 Amazon EC2 AWSSupport- UpgradeWindowsAWSDrivers 指定された EC2 インスタンス上のストレージおよびネットワーク AWS ドライバーをアップグレードまたは修復します。 32 Amazon ECS AWSSupport- CollectECSInstanceLogs Amazon Elastic Compute Cloud (Amazon EC2) インスタンスからオペレーティングシステムと Amazon Elastic Container Service (Amazon ECS) 関連のログファイルを収集し、Amazon ECS の⼀般的な問題のトラブルシューティングに役⽴ちます。 33 Amazon ECS AWSSupport- TroubleshootECSContainerInst ance Amazon ECS クラスターへの登録に失敗した Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのトラブルシューティングに役⽴ちます。 34 Amazon ECS AWSSupport- TroubleshootECSTaskFailedToS tart Amazon ECS クラスター内の Amazon Elastic Container Service (Amazon ECS) タスクの開始に失敗した理由のトラブルシューティングに役⽴ちます。 35 Amazon EFS AWSSupport- CheckAndMountEFS Amazon Elastic File System (Amazon EFS) ファイルシステムをマウントするための前提条件を検証し、指定した Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにファイルシステムをマウントします。 36 Amazon EKS AWSSupport- CollectEKSInstanceLogs Amazon Elastic Compute Cloud (Amazon EC2) インスタンスからオペレーティングシステムと Amazon Elastic Kubernetes Service (Amazon EKS) 関連のログファイルを収集し、⼀般的な問題のトラブルシューティングに役⽴ちます。 37 Amazon EKS AWSSupport- TroubleshootEKSWorkerNode Amazon Elastic Compute Cloud (Amazon EC2) ワーカーノードと Amazon Elastic Kubernetes Service (Amazon EKS) クラスターを分析し、ワーカーノードがクラスターに参加できない⼀般的な原因を特定してトラブルシューティングするのに役⽴ちます。 38 Elastic Beanstalk AWSSupport- CollectElasticBeanstalkLogs Elastic Beanstalk によって起動された Amazon Elastic Compute Cloud (Amazon EC2) Windows Server インスタンスから AWS Elastic Beanstalk 関連のログファイルを収集し、⼀般的な問題のトラブルシューティングに役⽴ちます。 39 Elastic Beanstalk AWSSupport- TroubleshootElasticBeanstalk AWS Elastic Beanstalk 環境が Degraded または Severe 状態にある潜在的な理由のトラブルシューティングに役⽴ちます。 40 Elastic Load Balancing AWSSupport- TroubleshootCLBConnectivity Classic Load Balancer (CLB) と Amazon Elastic Compute Cloud (Amazon EC2) インスタンス間の接続の問題のトラブルシューティングに役⽴ちます。技術ブログから抜粋（2024-08-25時点／常に AWS 最新情報を優先します）

24 # AWS サービスランブック名概要 41 Amazon EMR AWSSupport-AnalyzeEMRLogs
Amazon EMR クラスターでジョブを実⾏する際のエラーを特定するのに役⽴ちます。Runbook は、ファイルシステム上の定義されたログのリストを分析し、事前定義されたキーワードのリストを検索します。 42 Amazon OpenSearch Service AWSSupport- TroubleshootOpenSearchRedY ellowCluster クラスターの健全性ステータスが⾚または⻩⾊の原因を特定し、クラスターを緑に戻す⼿順を案内するために使⽤されます。 43 Amazon OpenSearch Service AWSSupport- TroubleshootOpenSearchHighC PU Amazon OpenSearch Service ドメインから診断データを収集してCPU 使⽤率の⾼さをトラブルシューティングするための⾃動ソリューションを提供します。 44 IAM AWSSupport- GrantPermissionsToIAMUser 指定されたアクセス許可を IAM グループ (新規または既存) に付与し、既存の IAM ユーザーをそれに追加します。 45 Lambda AWSSupport- RemediateLambdaS3Event Amazon Simple Storage Service (Amazon S3)のイベント通知が、指定した AWS Lambda 関数のトリガーに失敗した原因を特定し、改善するのに役⽴ちます。 46 Lambda AWSSupport- TroubleshootLambdaInternetA ccess Amazon Virtual Private Cloud (Amazon VPC) に起動された AWS Lambda 関数のインターネットアクセスの問題のトラブルシューティングに役⽴ちます。 47 Lambda AWSSupport- TroubleshootLambdaS3Event Amazon Simple Storage Service (Amazon S3) イベント通知が指定した AWS Lambda 関数をトリガーできなかった理由を特定するのに役⽴ちます。 48 Amazon Managed Workflows for Apache Airflow AWSSupport- TroubleshootMWAAEnvironme ntCreation Amazon Managed Workflows for Apache Airflow (Amazon MWAA) 環境作成の問題をデバッグするための情報を提供し、⽂書化された理由とともにベストエフォートベースでチェックを実⾏して、障害の特定に役⽴てます。 49 Amazon RDS AWSSupport- ModifyRDSSnapshotPermission 複数の Amazon Relational Database Service (Amazon RDS) スナップショットのアクセス許可を変更するのに役⽴ちます。 50 Amazon RDS AWSSupport- ShareRDSSnapshot Knowledge Center の記事 How can I share an encrypted Amazon RDS DB snapshot with another account で説明されている⼿順の⾃動化ソリューションを提供します。 51 Amazon RDS AWSSupport- TroubleshootConnectivityToRD S EC2 インスタンスと Amazon Relational Database Service インスタンス間の接続の問題を診断します。技術ブログから抜粋（2024-08-25時点／常に AWS 最新情報を優先します）

25 # AWS サービスランブック名概要 52 Amazon RDS AWSSupport-
TroubleshootRDSIAMAuthentic ation Amazon RDS for PostgreSQL、Amazon RDS for MySQL、Amazon RDS for MariaDB、Amazon Aurora PostgreSQL、および Amazon Aurora MySQL インスタンスの AWS Identity and Access Management (IAM) 認証のトラブルシューティングに役⽴ちます。 53 Amazon RDS AWSSupport- ValidateRdsNetworkConfigurati on ModifyDBInstance または StartDBInstance オペレーションを実⾏する前に、既存の Amazon Relational Database Service (Amazon RDS) / Amazon Aurora / Amazon DocumentDB インスタンスの互換性のないネットワーク状態を回避するのに役⽴ちます。 54 Amazon S3 AWSSupport- TroubleshootS3PublicRead S3BucketName パラメータで指定したパブリック Amazon Simple Storage Service (Amazon S3) バケットからオブジェクトを読み込む問題を診断します。 55 Systems Manager AWSSupport- TroubleshootManagedInstance Amazon Elastic Compute Cloud (Amazon EC2) インスタンスが AWS Systems Manager によって管理されていると報告されない理由を特定するのに役⽴ちます。 56 Systems Manager AWSSupport- TroubleshootPatchManagerLin ux AWS Systems Manager の機能「パッチマネージャー」を使⽤して、Linux ベースの管理対象ノードでパッチの失敗を引き起こす可能性のある⼀般的な問題のトラブルシューティングを⾏います。 57 Systems Manager AWSSupport- TroubleshootSessionManager Session Manager を使⽤して管理対象の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに接続できない⼀般的な問題のトラブルシューティングに役⽴ちます。 58 Amazon VPC AWSSupport- ConfigureDNSQueryLogging Virtual Private Cloud (VPC) または Amazon Route 53 ホストゾーンで発⽣する DNS クエリのログを構成します。 59 Amazon VPC AWSSupport- ConfigureTrafficMirroring ロードバランサーと Amazon Elastic Compute Cloud (Amazon EC2) インスタンス間の接続の問題のトラブルシューティングに役⽴つトラフィックミラーリングを構成します。 60 Amazon VPC AWSSupport- ConnectivityTroubleshooter 次の間の接続の問題を診断します。・Amazon Virtual Private Cloud (Amazon VPC) 内の AWS リソース・VPC ピアリングを使⽤して接続されている、同じ AWS リージョン内の異なる Amazon VPC 内の AWS リソース・Amazon VPC 内の AWS リソースとインターネットゲートウェイを使⽤するインターネットリソース・Amazon VPC 内の AWS リソースと、ネットワークアドレス変換 (NAT) ゲートウェイを使⽤するインターネットリソース 61 Amazon VPC AWSSupport-TroubleshootVPN AWS Site-to-Site VPN 接続のエラーを追跡して解決するのに役⽴ちます。⾃動化には、AWS Site-to-Site VPN 接続トンネルに関連するトレースIKEv1またはエラーを追跡するように設計されたいくつかの⾃動チェックが含まれます。IKEv2⾃動化は、⼀般的な問題のリストから特定のエラーとそれに対応する解決策を照合しようとします。技術ブログから抜粋（2024-08-25時点／常に AWS 最新情報を優先します）

26 # AWS サービスランブック名概要 62 Amazon VPC AWSSupport-
EnableVPCFlowLogs AWS アカウント内のサブネット、ネットワークインターフェイス、および VPC の Amazon Virtual Private Cloud (Amazon VPC) フローログを作成します。 63 Amazon VPC AWSSupport- SetupIPMonitoringFromVPC Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを作成し、ping、MTR、traceroute、tracetcp テストを継続的に実⾏することで、選択したターゲット IP (IPv4 または IPv6) を監視します。 64 Amazon VPC AWSSupport- TerminateIPMonitoringFromVP C 以前に AWSSupport-SetupIPMonitoringFromVPC によって開始された IP モニタリングテストを終了します。指定したテストIDに関連するデータが削除されます。 65 Amazon WorkSpaces AWSSupport- RecoverWorkSpace Amazon WorkSpaces 仮想デスクトップ上で回復⼿順を実⾏します。ランブックは WorkSpace を再起動し、状態がまだ UNHEALTHY の場合、⼊⼒パラメータに指定した値に基づいてWorkSpaceを復元または再構築します。 66 Amazon Connect AWSSupport- AssociatePhoneNumbersToCon nectContactFlows AWSSupport-AssociatePhoneNumbersToConnectContactFlows は、Amazon Connec インスタンスのコンタクトフローに電話番号を関連付けるのに役⽴ちます。カンマ区切り値（CSV）ファイルで電話番号とコンタクトフローのマッピングを提供することにより、ランブックは14.5分以内に可能な限り多くの電話番号をコンタクトフローに関連付けます。ランブックは、制限時間内に関連付けることができなかったすべての電話番号とコンタクト・フローのペアのCSVファイルを作成し、次の実⾏で⼊⼒できるようにします。 67 Amazon Connect AWSSupport- CollectAmazonConnectContact FlowLog AWSSupport-CollectAmazonConnectContactFlowLogは、特定のコンタクトIDのAmazon Connectコンタクトフローログを収集するために使⽤されます。 Amazon ConnectインスタンスIDとコンタクトIDを提供することで、ランブックは Amazon CloudWatchロググループからコンタクトのコンタクトフローログを検索し、リクエストパラメータで指定された Amazon Simple Storage Service (Amazon S3)バケットにアップロードします。ランブックは、ログをダウンロードするためのAmazon S3コンソールURLとAWS CLIコマンドを提供する出⼒を⽣成します。 68 Amazon EC2 AWSPremiumSupport- ChangeInstanceTypeIntelToAM D AWSPremiumSupport-ChangeInstanceTypeIntelToAMDランブックは、Intel 搭載の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスから同等の AMD 搭載インスタンスタイプへの移⾏を⾃動化します。このランブックは、 Nitro システム上に構築された汎⽤ (M)、バースト可能な汎⽤ (T)、コンピューティング最適化 (C)、およびメモリ最適化 (R) インスタンスをサポートします。このランブックは、Systems Manager によって管理されていないインスタンスで使⽤できます。 69 Amazon EC2 AWSPremiumSupport- ResizeNitroInstance AWSPremiumSupport-ResizeNitroInstance は、Nitro システム上に構築された Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのサイズを変更するための⾃動化ソリューションを提供します。技術ブログから抜粋（2024-08-25時点／常に AWS 最新情報を優先します）

27 # AWS サービスランブック名概要 70 Amazon EC2 AWSPremiumSupport-
TroubleshootEC2DiskUsage AWSPremiumSupport-TroubleshootEC2DiskUsageは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのルートおよび⾮ルートディスクの使⽤に関する問題を調査し、潜在的に修復するのに役⽴ちます。可能であれば、このランブックはボリュームとそのファイルシステムを拡張して問題の修復を試みます。 71 Amazon EC2 AWSSupport- TroubleshootLinuxMGNDRSAge ntLogs AWSSupport-TroubleshootLinuxMGNDRSAgentLogs⾃動化ランブックは、Linux サーバーに AWS Application Migration Service (AWS MGN) および AWS Elastic Disaster Recovery (AWS DRS) レプリケーションエージェントをインストールしてソースサーバーを AWS クラウドに移⾏するときによくあるエラーを検出するために使⽤されます。 72 Amazon EC2 AWSSupport- TroubleshootWindowsPerforma nce AWSSupport-TroubleshootWindowsPerformance はAmazon Elastic Compute Cloud (Amazon EC2) Windows インスタンスで進⾏中のパフォーマンスの問題のトラブルシューティングに役⽴ちます。このランブックは、ターゲットインスタンスからログをキャプチャし、CPU、メモリ、ディスク、およびネットワークのパフォーマンスメトリクスを分析します。オプションで、⾃動化によりプロセスダンプをキャプチャして、パフォーマンス低下の潜在的な原因を特定できます。 73 Amazon EC2 AWSSupport- TroubleshootWindowsUpdate AWSSupport-TroubleshootWindowsUpdateは、Amazon Elastic Compute Cloud (Amazon EC2) Windows インスタンスの Windows 更新に失敗する可能性がある問題を特定するために使⽤されます。 74 Amazon EKS AWSPremiumSupport- TroubleshootEKSCluster AWSPremiumSupport-TroubleshootEKSCluster は、Amazon Elastic Kubernetes Service (Amazon EKS) クラスター、基盤となるインフラストラクチャの⼀般的な問題を診断し、推奨される修復⼿順を提供します。 75 Amazon EMR AWSSupport- DiagnoseEMRLogsWithAthena AWSSupport-DiagnoseEMRLogsWithAthena は、AWS Glue データカタログと統合された Amazon Athena を使⽤して Amazon EMR ログを診断するのに役⽴ちます。 76 Amazon FSx AWSSupport- ValidateFSxWindowsADConfig AWSSupport-ValidateFSxWindowsADConfigは、Amazon FSx for Windows ファイルサーバーのセルフマネージド Active Directory (AD) 構成を検証するために使⽤されます。 77 Amazon RDS AWSPremiumSupport- PostgreSQLWorkloadReview AWSPremiumSupport-PostgreSQLWorkloadReview は、Amazon Relational Database Service (Amazon RDS) PostgreSQL データベースの使⽤統計の複数のスナップショットをキャプチャします。 78 AWS Shield AWSPremiumSupport- DDoSResiliencyAssessment AWSPremiumSupport-DDoSResiliencyAssessment は、AWS アカウントの AWS Shield Advanced 保護に従って、 DDoS の脆弱性とリソースの構成を確認するのに役⽴ちます。分散型サービス拒否 (DDoS) 攻撃に対して脆弱なリソースの構成設定レポートを提供します。これは、AWS Shield Advanced Protection の推奨ベストプラクティスに従って、 Amazon Route 53、Amazon ロードバランサー、Amazon CloudFront ディストリビューション、AWS Global Accelerator、AWS Elastic IP などのリソースの構成設定を収集、分析、評価するために使⽤されます。最終的な構成レポートは、選択した Amazon S3 バケットで HTML ファイルとして⼊⼿できます。技術ブログから抜粋（2024-08-25時点／常に AWS 最新情報を優先します）

28 やっぱり EC2 多めです。 AWS サービス個数 IAM 1 Elastic
Load Balancing 1 Amazon Managed Workflows for Apache Airflow 1 Amazon EFS 1 Amazon FSx 1 AWS Shield 1 AWS Config 1 AWS CodeDeploy 1 AWS CloudFormation 1 AWS Batch 1 Elastic Beanstalk 2 Amazon OpenSearch Service 2 Amazon EMR 2 AWS サービス個数 Amazon Connect 2 AWS Directory Service 2 Systems Manager 3 Lambda 3 Amazon EKS 3 Amazon ECS 3 Amazon EBS 3 Amazon S3 6 Amazon RDS 6 Amazon WorkSpaces 7 Amazon VPC 7 Amazon EC2 28

29 やっぱり EC2 多めです。 AWS サービス個数 IAM 1 Elastic
Load Balancing 1 Amazon Managed Workflows for Apache Airflow 1 Amazon EFS 1 Amazon FSx 1 AWS Shield 1 AWS Config 1 AWS CodeDeploy 1 AWS CloudFormation 1 AWS Batch 1 Elastic Beanstalk 2 Amazon OpenSearch Service 2 Amazon EMR 2 AWS サービス個数 Amazon Connect 2 AWS Directory Service 2 Systems Manager 3 Lambda 3 Amazon EKS 3 Amazon ECS 3 Amazon EBS 3 Amazon S3 6 Amazon RDS 6 Amazon WorkSpaces 7 Amazon VPC 7 Amazon EC2 28

30 具体的な使い⽅やどんなものがあるか︖ 詳細は、公式ドキュメントや私が雑にまとめたブログなどでご確認いただきたいところです。どのようなシナリオがあるのか︖ お客様の環境でどのように使えるか︖ そもそも AWS SAW ランブックが動作するために、
対象の AWS リソースに求める前提条件があるか例）Systems Manager のマネージドインスタンスになっていなければならない、など

ただ、記憶に新しい、今年下半期のあの障害

32 CrowdStrike が全世界をストライクした事件 2024年7⽉19⽇に発⽣し、その界隈に震撼が⾛った CrowdStrike の件でも AWS SAW が有⽤だったようです。

CrowdStrike の件では、Safe mode で起動し、C ドライブに存在する C-00000291*.sys を削除し、再起動すれば良いと公式からの案内がありました。

CrowdStrike の件では、Safe mode で起動し、C ドライブに存在する C-00000291*.sys を削除し、再起動すれば良いと公式からの案内がありました。ただ、Safe mode での起動ができないクラウド（≒物理端末以外）では対応⼿段が煩雑なものが多く、対処が容易ではありませんでした。デジタル署名の問題があり、単純なボリュームの⼀時的なデタッチ → レスキューインスタンスへのアタッチ＋所定のファイル削除 → 元のインスタンスへの再アタッチのような簡単な作業では復旧しない事象でした

35 技術的な詳細はドキュメントで CrowdStrike の事象で、AWS SAW が有⽤に働いた件や具体的な⼿順は AWS re:Post 記事や弊社の技術ブログをご参照ください
How do I recover AWS resources that were affected by the CrowdStrike Falcon agent? https://repost.aws/knowledge-center/ec2-instance-crowdstrike-agent 【2024年7⽉19⽇に発⽣したWindowsサーバー障害に関する記事】AWS ナレッジセンターに公開された⼿順のうち AWS Systems Manager を利⽤する⼿順の確認をしました https://blog.serverworks.co.jp/aws-saw-runbook-for-csagent-incident

36 技術的な詳細はドキュメントで CrowdStrike の事象で、AWS SAW が有⽤に働いた件や具体的な⼿順は AWS re:Post 記事や弊社の技術ブログをご参照ください
How do I recover AWS resources that were affected by the CrowdStrike Falcon agent? https://repost.aws/knowledge-center/ec2-instance-crowdstrike-agent 【2024年7⽉19⽇に発⽣したWindowsサーバー障害に関する記事】AWS ナレッジセンターに公開された⼿順のうち AWS Systems Manager を利⽤する⼿順の確認をしました https://blog.serverworks.co.jp/aws-saw-runbook-for-csagent-incident 具体的にはランブック AWSSupport-StartEC2RescueWorkflow が CrowdStrike 事件では有⽤でした。 https://docs.aws.amazon.com/ja_jp/systems-manager-automation- runbooks/latest/userguide/automation-awssupport-startec2rescueworkflow.html

37 AWS SAW での対処を考えた場合ブログにまとめた際の検証でも確認いたしましたが、リカバリー対象となる EC2 インスタンスが、必ずしもマネージドインスタンスである必要はありませんでした。

38 AWS SAW での対処を考えた場合ブログにまとめた際の検証でも確認いたしましたが、リカバリー対象となる EC2 インスタンスが、必ずしもマネージドインスタンスである必要はありませんでした。具体的には該当のランブックの中で起動するレスキューインスタンスが
マネージドインスタンスとして登録できれば復旧作業を完結できました。

39 AWS SAW での対処を考えた場合ブログにまとめた際の検証でも確認いたしましたが、リカバリー対象となる EC2 インスタンスが、必ずしもマネージドインスタンスである必要はありませんでした。具体的には該当のランブックの中で起動するレスキューインスタンスが
マネージドインスタンスとして登録できれば復旧作業を完結できました。復旧対象のインスタンスが稼働中の VPC がインターネットと疎通しない、VPC エンドポイントがないなど、マネージドインスタンスの要件を満たさない場合、レスキューインスタンスを⽴ち上げる VPC を、新たに⼀時作成する VPC に配置して、レスキューインスタンスを強制的にマネージドインスタンスとすることも該当のランブック内で実施可能でした。

まとめ

41 AWS SAW の有⽤性 AWS テクニカルサポートの知⾒を落とし込んだソリューションなのでトラブルシュートに役⽴つランブックがやはり多いです。

42 AWS SAW の有⽤性 AWS テクニカルサポートの知⾒を落とし込んだソリューションなのでトラブルシュートに役⽴つランブックがやはり多いです。ただ、Xen → Nitro
への変更時の事前チェックや、 root パスワードの再設定など、通常の運⽤時にも有⽤なランブックも多い印象です。

43 AWS SAW の有⽤性 AWS テクニカルサポートの知⾒を落とし込んだソリューションなのでトラブルシュートに役⽴つランブックがやはり多いです。ただ、Xen → Nitro
への変更時の事前チェックや、 root パスワードの再設定など、通常の運⽤時にも有⽤なランブックも多い印象です。 CrowdStrike 事件の時に有⽤だったランブックのように操作対象がマネージドインスタンスでなくても良い可能性もありますが、やはり動作要件にマネージドインスタンスであることを要求するランブックも多くみられました。

44 ぜひ AWS SAW の活⽤検討を︕ 私が、テクニカルサポート担当なので、お問い合わせをいただく際に有益な情報を多数得たい︕というのももちろんですが…

45 ぜひ AWS SAW の活⽤検討を︕ 私が、テクニカルサポート担当なので、お問い合わせをいただく際に有益な情報を多数得たい︕というのももちろんですが… うまく活⽤すれば CrowdStrike
事件のような事態への対応を⾃動化（あるいは省⼒化）することも検討できたと思われます。

46 ぜひ AWS SAW の活⽤検討を︕ 私が、テクニカルサポート担当なので、お問い合わせをいただく際に有益な情報を多数得たい︕というのももちろんですが… うまく活⽤すれば CrowdStrike
事件のような事態への対応を⾃動化（あるいは省⼒化）することも検討できたと思われます。ただ、やっぱり備えが⼤事お使いの環境で有⽤なランブックの存在有無の確認（利⽤しているサービスで有⽤なランブックがあるか︖） ssm agent の導⼊や疎通経路の確保（やっぱり SSM が利⽤できることは有益） AWS SAW ランブック活⽤を視野に⼊れた訓練の実施（とはいえ、いきなりは本番適⽤できないしね）

余談

48 AWS SAW の存在についてここまでつらつらと書いてきましたが、私もサポート担当として従事しながら、 AWS Expert Online を⾒るまで知りませんでした。

49 AWS SAW の存在についてここまでつらつらと書いてきましたが、私もサポート担当として従事しながら、 AWS Expert Online を⾒るまで知りませんでした。ただ、存在を知ってからは、なるべく弊社内に横展開を進めるようにしています
（特に同じテクニカルサポート部⾨内、SRE チームなど）

でも（あんまりいうと怒られそうですが）

51 AWS テクニカルサポートでも… 弊社のテクサポチームのメンバーがお客様対応中に AWS SAW に沿ったトラブルシュートを案内しました。

52 AWS テクニカルサポートでも… 弊社のテクサポチームのメンバーがお客様対応中に AWS SAW に沿ったトラブルシュートを案内しました。その場では解決せず、結果の共有を受け AWS
サポートへエスカレーションしました。

53 AWS テクニカルサポートでも… 弊社のテクサポチームのメンバーがお客様対応中に AWS SAW に沿ったトラブルシュートを案内しました。その場では解決せず、結果の共有を受け AWS
サポートへエスカレーションしました。 AWS SAW︖とは︖ という回答が返ってきたことがあるらしく(おい︕) （内外問わず）知名度を上げていきたいところです。

とはいえ

55 とはいえ有⽤なソリューションだと思いますので、ぜひ、AWS SAW（AWS Support Automation Workflows）というソリューションの存在を覚えていただければ︕

56 とはいえ有⽤なソリューションだと思いますので、ぜひ、AWS SAW（AWS Support Automation Workflows）というソリューションの存在を覚えていただければ︕ トラブルシュートで
AWS SAW ランブックを実⾏するが、解決しなかった際には、結果のご共有とともに使⽤したランブック名をご共有いただければ🙏 （AWS テクニカルサポートへの牽制…、知らなかった︕とは⾔わせないよ…）

AWS SAW を広めたい - I want to Spreading AWS SAW

AWS SAW を広めたい - I want to Spreading AWS SAW

More Decks by kazzpapa3

Other Decks in Technology

Featured

Transcript