Verwenden von Skripten in Runbooks
Automation-Runbooks unterstützen das Ausführen von Skripts im Rahmen der Automatisierung. Automation ist eine Funktion von AWS Systems Manager. Mithilfe von Runbooks können Sie Skripts direkt in AWS ausführen, ohne eine separate Datenverarbeitungsumgebung zum Ausführen Ihrer Skripts zu erstellen. Da Runbooks Skriptschritte neben anderen Automation-Schritttypen wie Genehmigungen ausführen können, haben Sie in kritischen oder unklaren Situationen die Möglichkeit, manuell einzugreifen. Sie können die Ausgabe von aws:executeScript
-Aktionen in Ihren Runbooks zu Amazon CloudWatch Logs verwenden. Weitere Informationen finden Sie unter Protokollierung der Automation-Aktionsausgabe mit CloudWatch Logs.
Berechtigungen für die Verwendung von Runbooks
Um ein Runbook zu verwenden, muss Systems Manager die Berechtigungen einer AWS Identity and Access Management(IAM)-Rolle verwenden. Die Methode, die Automation verwendet, um zu bestimmen, von welcher Rolle die Berechtigungen verwendet werden, hängt von einigen Faktoren und davon ab, ob ein Schritt die aws:executeScript
-Aktion verwendet.
Für Runbooks, die aws:executeScript
nicht verwenden, verwendet Automation eine von zwei Berechtigungsquellen:
-
Die Berechtigungen einer IAM-Service-Rolle oder einer Assume-Rolle, die im Runbook angegeben oder als Parameter übergeben wird.
-
Wenn keine IAM-Servicerolle angegeben ist, werden die Berechtigungen des IAM-Benutzers verwendet, der die Automatisierung gestartet hat.
Wenn ein Schritt in einem Runbook die aws:executeScript
-Aktion enthält, ist jedoch immer eine IAM-Service-Rolle (Rolle übernehmen) erforderlich, wenn das für die Aktion angegebene Python- oder PowerShell-Skript jegliche AWS-API-Operationen aufruft. Automation prüft diese Rolle in der folgenden Reihenfolge:
-
Die Berechtigungen einer IAM-Service-Rolle oder einer Assume-Rolle, die im Runbook angegeben oder als Parameter übergeben wird.
-
Wenn keine Rolle gefunden wird, versucht Automation, das für
aws:executeScript
angegebene Python- oder PowerShell-Skript ohne Berechtigungen auszuführen. Wenn das Skript einen AWS-API-Vorgang (z. B. die Amazon EC2CreateImage
-Operation) aufruft oder versucht, eine Aktion an einer AWS-Ressource (z. B. eine EC2-Instance) durchzuführen, schlägt der Schritt, der das Skript enthält, fehl und Systems Manager gibt eine Fehlermeldung zurück, die den Fehler meldet.
Hinzufügen von Skripts zu Runbooks
Sie können Skripts zu Runbooks hinzufügen, indem Sie das Skript inline als Teil eines Schritts in das Runbook einfügen. Sie können Skripts auch an das Runbook anhängen, indem Sie die Skripts von Ihrem lokalen Computer hochladen oder einen Amazon Simple Storage Service (Amazon S3)-Bucket angeben, in dem sich die Skripts befinden. Nachdem ein Schritt abgeschlossen ist, in dem ein Skript ausgeführt wird, steht die Ausgabe des Skripts als JSON-Objekt zur Verfügung, das Sie dann als Eingabe für nachfolgende Schritte im Runbook verwenden können. Weitere Informationen zur aws:executeScript
-Aktion und zur Verwendung von Anlagen für Skripts finden Sie unter aws:executeScript - Führen Sie ein Skript aus.
Skripteinschränkungen für Runbooks
Runbooks erzwingen ein Limit von fünf Dateianhängen. Skripts können entweder in Form eines Python-Skripts (.py), eines PowerShell Core-Skripts (.ps1) oder als Inhalt einer ZIP-Datei angehängt werden.