AWSSupport-ResetLinuxUserPassword - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSSupport-ResetLinuxUserPassword

Beschreibung

Das AWSSupport-ResetLinuxUserPassword Runbook hilft Ihnen dabei, das Passwort eines lokalen Betriebssystembenutzers (OS) zurückzusetzen. Dieses Runbook ist besonders hilfreich für Benutzer, die über die serielle Konsole auf ihre Amazon Elastic Compute Cloud (AmazonEC2) -Instances zugreifen müssen. Das Runbook erstellt eine temporäre EC2 Amazon-Instance in Ihrer Rolle AWS-Konto und einer AWS Identity and Access Management (IAM) Rolle mit der Berechtigung, einen AWS Secrets Manager geheimen Wert abzurufen, der das Passwort enthält.

Das Runbook stoppt Ihre EC2 Amazon-Ziel-Instance, trennt das Amazon Elastic Block Store (AmazonEBS) -Stammvolume und hängt es an die temporäre Amazon-Instance an. EC2 Mithilfe von Run Command wird auf der temporären Instance ein Skript ausgeführt, um das Passwort des von Ihnen angegebenen Betriebssystembenutzers festzulegen. Anschließend wird das EBS Amazon-Root-Volume wieder an Ihre Ziel-Instance angehängt. Das Runbook bietet auch die Möglichkeit, zu Beginn der Automatisierung einen Snapshot des Root-Volumes zu erstellen.

Bevor Sie beginnen

Erstellen Sie ein Secrets Manager Manager-Geheimnis mit dem Wert des Passworts, das Sie Ihrem Betriebssystembenutzer zuweisen möchten. Der Wert muss im Klartext sein. Weitere Informationen finden Sie unter Erstellen eines AWS Secrets Manager -Geheimnisses im AWS Secrets Manager -Benutzerhandbuch.

Überlegungen

  • Wir empfehlen, Ihre Instance zu sichern, bevor Sie dieses Runbook verwenden. Erwägen Sie, den Wert des CreateSnapshot Parameters auf festzulegen. Yes

  • Um das lokale Benutzerkennwort zu ändern, muss das Runbook Ihre Instance beenden. Wenn eine Instance gestoppt wird, gehen alle im Arbeitsspeicher oder auf Instance-Speicher-Volumes gespeicherten Daten verloren. Außerdem werden alle automatisch zugewiesenen öffentlichen IPv4 Adressen freigegeben. Weitere Informationen darüber, was passiert, wenn Sie eine Instance beenden, finden Sie unter Stoppen und starten Sie Ihre Instance im EC2Amazon-Benutzerhandbuch.

  • Wenn die EBS Amazon-Volumes, die an Ihre EC2 Amazon-Zielinstanz angehängt sind, mit einem vom Kunden verwalteten AWS Key Management Service (AWS KMS) Schlüssel verschlüsselt sind, stellen Sie sicher, dass der AWS KMS Schlüssel nicht verschlüsselt ist, da deleted disabled sonst Ihre Instance nicht gestartet werden kann.

Führen Sie diese Automatisierung aus (Konsole)

Art des Dokuments

Automatisierung

Eigentümer

Amazon

Plattformen

Linux

Parameter

  • AutomationAssumeRole

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der Rolle AWS Identity and Access Management (IAM), der es Systems Manager Automation ermöglicht, die Aktionen in Ihrem Namen durchzuführen. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

  • InstanceId

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Die ID der Amazon EC2 Linux-Instance, die das Betriebssystem-Benutzerkennwort enthält, das Sie zurücksetzen möchten.

  • LinuxUserName

    Typ: Zeichenfolge

    Standard: ec2-user

    Beschreibung: (Optional) Das Betriebssystem-Benutzerkonto, dessen Passwort Sie zurücksetzen möchten.

  • SecretArn

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Das Geheimnis ARN Ihres Secrets Manager, das das neue Passwort enthält.

  • SecurityGroupId

    Typ: Zeichenfolge

    Beschreibung: (Optional) Die ID der Sicherheitsgruppe, die an die temporäre EC2 Amazon-Instance angehängt werden soll. Wenn Sie keinen Wert für diesen Parameter angeben, wird die Standardsicherheitsgruppe Amazon Virtual Private Cloud (AmazonVPC) verwendet.

  • SubnetId

    Typ: Zeichenfolge

    Beschreibung: (Optional) Die ID des Subnetzes, in dem Sie die EC2 temporäre Amazon-Instance starten möchten. Standardmäßig wählt die Automatisierung dasselbe Subnetz wie Ihre Ziel-Instance aus. Wenn Sie ein anderes Subnetz bereitstellen möchten, muss es sich in derselben Availability Zone wie die Ziel-Instance befinden und Zugriff auf Systems Manager Manager-Endpunkte haben.

  • CreateSnapshot

    Typ: Zeichenfolge

    Gültige Werte: Ja | Nein

    Standard: Ja

    Beschreibung: (Optional) Legt fest, ob ein Snapshot des Root-Volumes Ihrer EC2 Amazon-Zielinstanz erstellt wird, bevor die Automatisierung ausgeführt wird.

  • StopConsent

    Typ: Zeichenfolge

    Gültige Werte: Ja | Nein

    Standard: Nein

    Beschreibung: Geben Sie ein, Yes um zu bestätigen, dass Ihre EC2 Amazon-Zielinstanz während dieser Automatisierung gestoppt wird. Wenn die EC2 Amazon-Instance gestoppt wird, gehen alle im Arbeitsspeicher oder auf Instance-Speichervolumes gespeicherten Daten verloren, und die automatische öffentliche IPv4 Adresse wird freigegeben. Weitere Informationen finden Sie unter Stoppen und Starten Ihrer Instance im EC2Amazon-Benutzerhandbuch.

Erforderliche IAM Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • ssm:DescribeInstanceInformation

  • ssm:ListTagsForResource

  • ssm:SendCommand

  • ec2:AttachVolume

  • ec2:CreateSnapshot

  • ec2:CreateSnapshots

  • ec2:CreateVolume

  • ec2:DescribeImages

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeSnapshotAttribute

  • ec2:DescribeSnapshots

  • ec2:DescribeSnapshotTierStatus

  • ec2:DescribeVolumes

  • ec2:DescribeVolumeStatus

  • ec2:DetachVolume

  • ec2:RunInstances

  • ec2:StartInstances

  • ec2:StopInstances

  • ec2:TerminateInstances

  • cloudformation:CreateStack

  • cloudformation:DeleteStack

  • cloudformation:DescribeStackResource

  • cloudformation:DescribeStacks

  • cloudformation:ListStacks

  • logs:CreateLogDelivery

  • logs:CreateLogGroup

  • logs:DeleteLogDelivery

  • logs:DeleteLogGroup

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:PutLogEvents

Dokumentschritte

  1. aws:branch— Verzweigungen basierend darauf, ob Sie dem Stoppen der EC2 Amazon-Zielinstanz zugestimmt haben.

  2. aws:assertAwsResourceProperty— Stellt sicher, dass der EC2 Amazon-Instance-Status den Status „runningoderstopped“ hat. Andernfalls endet die Automatisierung.

  3. aws:executeAwsApi— Ruft die EC2 Amazon-Instance-Eigenschaften ab.

  4. aws:executeAwsApi— Ruft die Eigenschaften des Root-Volumes ab.

  5. aws:branch— Verzweigt die Automatisierung in Abhängigkeit davon, ob eine Subnetz-ID für die temporäre EC2 Amazon-Instance bereitgestellt wurde.

  6. aws:assertAwsResourceProperty— Stellt sicher, dass sich das Subnetz, das Sie im SubnetId Parameter angeben, in derselben Availability Zone wie die EC2 Amazon-Ziel-Instance befindet.

  7. aws:assertAwsResourceProperty— Stellt sicher, dass das Ziel-Root-Volume der EC2 Amazon-Instance ein EBS Amazon-Volume ist.

  8. aws:assertAwsResourceProperty— Stellt sicher, dass die EC2 Amazon-Instance-Architektur arm64 oder istx86_64.

  9. aws:assertAwsResourceProperty— Stellt sicher, dass das Verhalten beim Herunterfahren der EC2 Amazon-Instance stimmt stop und nichtterminate.

  10. aws:branch— Stellt sicher, dass es sich bei der EC2 Amazon-Instance nicht um eine Spot-Instance handelt. Andernfalls endet die Automatisierung.

  11. aws:executeScript— Stellt sicher, dass die EC2 Amazon-Instance nicht Teil einer Auto Scaling-Gruppe ist. Wenn die Instance Teil einer Auto Scaling-Gruppe ist, bestätigt die Automatisierung, dass sich die EC2 Amazon-Instance in einem Standby Lebenszyklusstatus befindet.

  12. aws:createStack— Erstellt eine temporäre EC2 Amazon-Instance, die verwendet wird, um das Passwort für den von Ihnen angegebenen Betriebssystembenutzer zurückzusetzen.

  13. aws:waitForAwsResourceProperty— Wartet, bis die neu gestartete temporäre EC2 Amazon-Instance läuft.

  14. aws:executeAwsApi— Ruft die ID der temporären EC2 Amazon-Instance ab.

  15. aws:waitForAwsResourceProperty— Wartet darauf, dass die temporäre EC2 Amazon-Instance als von Systems Manager verwaltet gemeldet wird.

  16. aws:changeInstanceState— Stoppt die EC2 Amazon-Zielinstanz.

  17. aws:changeInstanceState— Zwingt die EC2 Amazon-Zielinstanz zum Beenden, falls sie in einem Stopp-Zustand hängen bleibt.

  18. aws:branch— Verzweigt die Automatisierung je nachdem, ob ein Snapshot des Root-Volumes der EC2 Amazon-Zielinstanz angefordert wurde.

  19. aws:executeAwsApi— Erstellt einen Snapshot des EBS Amazon-Stamm-Volumes der EC2 Amazon-Zielinstanz.

  20. aws:waitForAwsResourceProperty— Wartet darauf, dass sich der Snapshot in einem bestimmten completed Zustand befindet.

  21. aws:executeAwsApi— Trennt das EBS Amazon-Root-Volume von der EC2 Amazon-Zielinstanz.

  22. aws:waitForAwsResourceProperty— Wartet darauf, dass das EBS Amazon-Root-Volume von der EC2 Amazon-Zielinstanz getrennt wird.

  23. aws:executeAwsApi— Hängt das EBS Amazon-Root-Volume an die temporäre EC2 Amazon-Instance an.

  24. aws:waitForAwsResourceProperty— Wartet darauf, dass das EBS Amazon-Root-Volume an die temporäre EC2 Amazon-Instance angehängt wird.

  25. aws:runCommand— Setzt das Passwort des Zielbenutzers zurück, indem ein Shell-Skript mit Run Command auf der temporären EC2 Amazon-Instance ausgeführt wird.

  26. aws:executeAwsApi— Trennt das EBS Amazon-Root-Volume von der temporären EC2 Amazon-Instance.

  27. aws:waitForAwsResourceProperty— Wartet darauf, dass das EBS Amazon-Root-Volume von der temporären EC2 Amazon-Instance getrennt wird.

  28. aws:executeAwsApi— Trennt das EBS Amazon-Root-Volume nach einem Fehler von der temporären EC2 Amazon-Instance.

  29. aws:waitForAwsResourceProperty— Wartet darauf, dass das EBS Amazon-Root-Volume nach einem Fehler von der temporären EC2 Amazon-Instance getrennt wird.

  30. aws:branch— Verzweigt die Automatisierung je nachdem, ob ein Snapshot des Root-Volumes angefordert wurde, um den Wiederherstellungspfad für den Fall eines Fehlers zu ermitteln.

  31. aws:executeAwsApi— Hängt das EBS Amazon-Root-Volume erneut an die Amazon-Zielinstanz an. EC2

  32. aws:waitForAwsResourceProperty— Wartet darauf, dass das EBS Amazon-Root-Volume an die EC2 Amazon-Instance angehängt wird.

  33. aws:executeAwsApi— Erstellt ein neues EBS Amazon-Volume aus dem Root-Volume-Snapshot der EC2 Amazon-Instance.

  34. aws:waitForAwsResourceProperty— Wartet, bis das neue EBS Amazon-Volume in einem available Zustand ist.

  35. aws:executeAwsApi— Hängt das neue EBS Amazon-Volume als Root-Volume an die Ziel-Instance an.

  36. aws:waitForAwsResourceProperty— Wartet darauf, dass sich das EBS Amazon-Volume in einem bestimmten attached Zustand befindet.

  37. aws:executeAwsApi— Beschreibt die AWS CloudFormation Stack-Ereignisse, wenn die Runbooks den Stack nicht erstellen oder aktualisieren können. AWS CloudFormation

  38. aws:branch— Verzweigt die Automatisierung je nach Status der vorherigen EC2 Amazon-Instanz. Wenn der Status warrunning, wird die Instance gestartet. Wenn sie sich in einem stopped Status befand, wird die Automatisierung fortgesetzt.

  39. aws:changeInstanceState— Startet die EC2 Amazon-Instance bei Bedarf.

  40. aws:waitForAwsResourceProperty— Wartet, bis sich der AWS CloudFormation Stack im Terminalstatus befindet, bevor er gelöscht wird.

  41. aws:executeAwsApi— Löscht den AWS CloudFormation Stack einschließlich der temporären EC2 Amazon-Instance.