Erstellen von Servicerolle für Automation mithilfe von AWS CloudFormation - AWS Systems Manager
Erstellen der Servicerolle mit AWS CloudFormationKopieren von Rolleninformationen für Automation

Erstellen von Servicerolle für Automation mithilfe von AWS CloudFormation

Sie können eine Servicerolle für Automation, eine Funktion von AWS Systems Manager, aus einer AWS CloudFormation-Vorlage erstellen. Nachdem Sie die Servicerolle erstellt haben, können Sie die Servicerolle in Runbooks mit dem Parameter AutomationAssumeRole angeben.

Erstellen der Servicerolle mit AWS CloudFormation

Erstellen Sie mit den folgenden Schritten die erforderliche AWS Identity and Access Management-(IAM)-Rolle für Systems Manager Automation mithilfe von AWS CloudFormation.

Erstellen der erforderlichen IAM-Rolle

  1. Laden Sie die AWS-SystemsManager-AutomationServiceRole.zip-Datei herunter und entpacken Sie diese. Dieser Ordner enthält die AWS-SystemsManager-AutomationServiceRole.yaml AWS CloudFormation-Vorlagendatei.

  2. Öffnen Sie die AWS CloudFormation-Konsole unter https://console.aws.amazon.com/cloudformation.

  3. Wählen Sie Create Stack aus.

  4. Wählen Sie im Abschnitt Specify template (Vorlage angeben) die Option Upload a template file (Vorlagendatei hochladen) aus.

  5. Wählen Sie Browse (Durchsuchen) und dann die AWS CloudFormation-Vorlagendatei AWS-SystemsManager-AutomationServiceRole.yaml aus.

  6. Wählen Sie Weiter.

  7. Geben Sie auf der Seite Stack-Details angeben im Feld Stack-Name einen Namen ein.

  8. Auf der Seite Configure stack options (Stack-Optionen konfigurieren) müssen Sie keine Auswahl treffen. Wählen Sie Weiter.

  9. Scrollen Sie auf der Seite Review (Prüfen) nach unten und wählen Sie die Option I acknowledge that AWS CloudFormation might create IAM resources (Ich bin mir bewusst, dass CFN IAM-Ressourcen erstellen kann).

  10. Wählen Sie Erstellen aus.

CloudFormation zeigt etwa drei Minuten den Status CREATE_IN_PROGRESS an. Der Status wird in CREATE_COMPLETE geändert, sobald der Stack erstellt wurde und die Rollen verwendet werden können.

Wichtig

Wenn Sie einen automatisierten Workflow ausführen, der andere Services mithilfe einer AWS Identity and Access Management-(IAM)-Servicerolle aufruft, muss die Servicerolle mit der Berechtigung zum Aufrufen dieser Services konfiguriert sein. Diese Anforderung gilt für alle AWS Automation-Runbooks (AWS-*-Runbooks), wie zum Beispiel AWS-ConfigureS3BucketLogging, AWS-CreateDynamoDBBackup und AWS-RestartEC2Instance-Runbooks, um nur einige zu nennen. Diese Anforderung gilt auch für alle von Ihnen erstellten benutzerdefinierten Automation-Runbooks, die andere AWS-Services mithilfe von Aktionen aufrufen, die andere Services aufrufen. Wenn Sie unter anderem aws:executeAwsApi-, aws:createStack- oder aws:copyImage-Aktionen verwenden, konfigurieren Sie die Dienstrolle mit der Berechtigung zum Aufrufen solcher Services. Sie können anderen AWS-Services Berechtigungen erteilen, indem Sie der Rolle eine eingebundene IAM-Richtlinie hinzufügen. Weitere Informationen finden Sie unter (Optional) Hinzufügen einer eingebundenen Automation-Richtlinie oder vom Kunden verwaltete Richtlinie zum Aufrufen anderer AWS-Services.

Kopieren von Rolleninformationen für Automation

Kopieren Sie mit den folgenden Schritten Informationen über die Automation-Servicerolle aus der AWS CloudFormation-Konsole. Sie müssen diese Rollen beim Verwenden eines Runbooks festlegen.

Anmerkung

Sie müssen keine Rolleninformationen mit diesen Schritten kopieren, wenn Sie die Runbooks AWS-UpdateLinuxAmi oder AWS-UpdateWindowsAmi ausführen. In diesen Runbook sind die erforderlichen Rollen bereits als Standardwerte festgelegt. Die Rollen in diesen Runbooks verwenden von IAM verwaltete Richtlinien.

Kopieren der Rollennamen

  1. Öffnen Sie die AWS CloudFormation-Konsole unter https://console.aws.amazon.com/cloudformation.

  2. Wählen Sie den Stack name (Stack-Name) der Automation aus, den Sie im vorherigen Verfahren erstellt haben.

  3. Wählen Sie die Registerkarte Resources (Ressourcen) aus.

  4. Wählen Sie den Link Physical ID (Physische ID) für AutomationServiceRole. Beim Öffnen der IAM-Konsole wird eine Zusammenfassung der Servicerolle für die Automatisierung angezeigt.

  5. Kopieren Sie den Amazon-Ressourcennamen (ARN) neben Role ARN (Rollen-ARN). Der ARN ist ähnlich wie der folgende: arn:aws:iam::12345678:role/AutomationServiceRole

  6. Kopieren Sie den ARN zur späteren Verwendung in eine Textdatei.

Sie haben die Konfiguration der Automation-Servicerolle abgeschlossen. Sie können jetzt den ARN der Automation-Servicerolle in Ihren Runbooks verwenden.