Konfigurieren von Rollen und Berechtigungen für Change Manager - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren von Rollen und Berechtigungen für Change Manager

Standardmäßig Change Manager hat keine Berechtigung zur Ausführung von Aktionen auf Ihre Ressourcen. Sie müssen den Zugriff gewähren, indem Sie eine AWS Identity and Access Management (IAM) -Servicerolle oder eine Übernahmerolle verwenden. Diese Rolle ermöglicht Change Manager um die in einer genehmigten Änderungsanforderung angegebenen Runbook-Workflows in Ihrem Namen sicher auszuführen. Die Rolle gewährt AWS Security Token Service (AWS STS) AssumeRoleVertrauen Change Manager.

Durch die Bereitstellung dieser Berechtigungen für eine Rolle, um im Namen von Benutzern in einer Organisation zu handeln, muss Benutzern dieses Array von Berechtigungen nicht selbst gewährt werden. Die durch die Berechtigungen zulässigen Aktionen sind nur auf genehmigte Vorgänge beschränkt.

Wenn Benutzer in Ihrem Konto oder Ihrer Organisation eine Änderungsanforderung erstellen, können sie diese Übernahmerolle auswählen, um die Änderungsvorgänge auszuführen.

Sie können eine neue Rolle übernehmen für erstellen Change Manager oder aktualisieren Sie eine vorhandene Rolle mit den erforderlichen Berechtigungen.

Wenn Sie eine Servicerolle für erstellen müssen Change Manager, führen Sie folgende Aufgaben aus.

Aufgabe 1: Erstellen einer Übernahmerollenrichtlinie für Change Manager

Verwenden Sie das folgende Verfahren, um die Richtlinie zu erstellen, die Sie an Ihre anfügen Change Manager Übernehmen einer Rolle.

Erstellen einer Übernahmerollenrichtlinie für Change Manager
  1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Policies und dann Create Policy.

  3. Wählen Sie auf der Seite „Richtlinie erstellen JSON“ die Registerkarte aus und ersetzen Sie den Standardinhalt durch den folgenden Inhalt, den Sie nach Ihren Wünschen ändern Change Manager Operationen in den folgenden Schritten.

    Anmerkung

    Wenn Sie eine Richtlinie für die Verwendung mit einem einzelnen AWS-Konto und nicht für eine Organisation mit mehreren Konten und erstellen AWS-Regionen, können Sie den ersten Anweisungsblock weglassen. Die iam:PassRole Berechtigung ist nicht erforderlich, wenn ein einziges Konto die Verwendung von Change Manager.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::delegated-admin-account-id:role/AWS-SystemsManager-job-functionAdministrationRole", "Condition": { "StringEquals": { "iam:PassedToService": "ssm.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ssm:DescribeDocument", "ssm:GetDocument", "ssm:StartChangeRequestExecution" ], "Resource": [ "arn:aws:ssm:region:account-id:automation-definition/template-name:$DEFAULT", "arn:aws:ssm:region::document/template-name" ] }, { "Effect": "Allow", "Action": [ "ssm:ListOpsItemEvents", "ssm:GetOpsItem", "ssm:ListDocuments", "ssm:DescribeOpsItems" ], "Resource": "*" } ] }
  4. Aktualisieren Sie den Resource Wert für die iam:PassRole Aktion, um alle für Ihre Organisation definierten Auftragsfunktionen einzuschließen, denen Sie Berechtigungen zum Initiieren von Runbook-Workflows erteilen möchten. ARNs

  5. Ersetzen Sie den region, account-id, template-name, delegated-admin-account-id, und job-function Platzhalter mit Werten für Ihre Change Manager Operationen.

  6. Ändern Sie für die zweite Resource-Anweisung die Liste so, dass sie alle Änderungsvorlagen enthält, für die Sie Berechtigungen erteilen möchten. Alternativ können Sie "Resource": "*" angeben, um Berechtigungen für alle Änderungsvorlagen in Ihrer Organisation zu erteilen.

  7. Wählen Sie Weiter: Markierungen.

  8. (Optional) Fügen Sie ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Richtlinie zu organisieren, zu verfolgen oder zu steuern.

  9. Wählen Sie Weiter: Prüfen aus.

  10. Geben Sie auf der Seite Review policy (Richtlinie überprüfen) im Feld Name einen Namen ein, wie z. B MyChangeManagerAssumeRole, und geben Sie anschließend eine optionale Beschreibung ein.

  11. Klicken Sie auf Create policy (Richtlinie erstellen) und fahren Sie mit Aufgabe 2: Erstellen einer Übernahmerolle für Change Manager fort.

Aufgabe 2: Erstellen einer Übernahmerolle für Change Manager

Verwenden des folgenden Verfahrens, um eine zu erstellen Change Manager übernehmen Sie eine Rolle, eine Art von Servicerolle, für Change Manager.

Erstellen einer Übernahmerolle für Change Manager
  1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Roles (Rollen) und dann Create role (Rolle erstellen).

  3. Wählen Sie für Select trusted entity (Vertrauenswürdige Entität auswählen) die folgenden Optionen:

    1. Wählen Sie unter Trusted entity type (Typ der vertrauenswürdigen Entität) die Option AWS -Service

    2. Für Anwendungsfälle für andere AWS-Services wählen Sie Systems Manager

    3. Wählen Sie Systems Manager, wie im folgenden Image gezeigt.

      Screenshot, der die als Anwendungsfall ausgewählte Option des Systems Manager veranschaulicht.
  4. Wählen Sie Weiter.

  5. Suchen Sie auf der Seite Attached permissions policy (Richtlinie für angehängte Berechtigungen) nach der Übernahmerollenrichtlinie, die Sie in Aufgabe 1: Erstellen einer Übernahmerollenrichtlinie für Change Manager erstellt haben, wie beispielsweise MyChangeManagerAssumeRole.

  6. Aktivieren Sie das Kontrollkästchen neben dem Namen der Übernahmerollenrichtlinie und wählen Sie anschließend Next: Tags (Weiter: Tags) aus.

  7. Geben Sie unter Role name (Rollenname) einen Namen für Ihr neues Instance-Profil ein, wie z. B. MyChangeManagerAssumeRole.

  8. (Optional) Aktualisieren Sie für Description (Beschreibung) die Beschreibung für diese Instance-Rolle.

  9. (Optional) Fügen Sie ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Rolle zu organisieren, zu verfolgen oder zu steuern.

  10. Wählen Sie Weiter: Prüfen aus.

  11. (Optional) Fügen Sie für Tags ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Rolle zu organisieren, nachzuverfolgen oder zu steuern, und wählen Sie dann Create role (Rolle erstellen) aus. Das System leitet Sie zur Seite Roles (Rollen) zurück.

  12. Wählen Sie Create role (Rolle erstellen) aus. Das System leitet Sie zur Seite Roles (Rollen) zurück.

  13. Wählen Sie auf der Seite Roles (Rollen) die gerade erstellte Rolle aus, um die Seite Summary (Übersicht) zu öffnen.

Aufgabe 3: Anfügen der iam:PassRole-Richtlinie an andere Rollen

Gehen Sie wie folgt vor, um die iam:PassRole Richtlinie einem IAM Instanzprofil oder einer IAM Servicerolle zuzuordnen. (Der Systems Manager Manager-Dienst verwendet IAM Instanzprofile, um mit EC2 Instanzen zu kommunizieren. Für nicht EC2 verwaltete Knoten in einer Hybrid- und Multicloud-Umgebung wird stattdessen eine IAM Servicerolle verwendet.)

Durch das Anhängen der iam:PassRole Richtlinie Change Manager Der Service kann Übernahmerollenberechtigungen anderen Services oder Systems Manager Manager-Funktionen übergeben, wenn Runbook-Workflows ausgeführt werden.

So fügen Sie die iam:PassRole Richtlinie an ein IAM Instance-Profil oder eine Servicerolle wie folgt an
  1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Rollen aus.

  3. Suchen nach Change Manager Nehmen Sie die von Ihnen erstellte Rolle an, z. B.MyChangeManagerAssumeRole, und wählen Sie ihren Namen aus.

  4. Wählen Sie auf der Seite Summary (Zusammenfassung) für die gerade erstellte Rolle die Registerkarte Permissions (Berechtigungen) aus.

  5. Wählen Sie Add permissions, Create inline policy (Berechtigungen hinzufügen, eingebundene Richtlinie erstellen).

  6. Wählen Sie auf der Seite Create policy die Registerkarte Visual editor aus.

  7. Wählen Sie Service und dann IAM.

  8. Geben Sie im Textfeld Aktionen filtern die PassRoleOption einPassRole, und wählen Sie sie aus.

  9. Erweitern Sie Resources (Ressourcen). Vergewissern Sie sich, dass Spezifisch ausgewählt ist, und wählen Sie dann Hinzufügen ausARN.

  10. Geben Sie im Feld Spezifizieren ARN für Rolle die ARN Rolle oder IAM IAM Servicerolle ein, an die Sie Übernahmerollenberechtigungen übergeben möchten. Das System füllt die Felder Account (Konto) und Role name with path (Rollenname mit Pfad) automatisch aus.

  11. Wählen Sie Hinzufügen aus.

  12. Wählen Sie Richtlinie prüfen.

  13. Geben Sie für Name einen Namen ein, um diese Richtlinie zu identifizieren und wählen Sie dann Create poliy (Richtlinie erstellen) aus.

Aufgabe 4: Hinzufügen von Inline-Richtlinien zu einer Übernahmerolle, um andere aufzurufen AWS-Services

Wenn eine Änderungsanforderung andere mithilfe AWS-Services von aufruft Change Manager Übernahmerolle, die Übernahmerolle mit der Berechtigung zum Aufrufen dieser Services konfiguriert sein. Diese Anforderung gilt für alle AWS -Automation-Runbooks (AWS-* Runbooks), die möglicherweise in einer Änderungsanforderung verwendet werden können, z. B. die AWS-ConfigureS3BucketLoggingAWS-CreateDynamoDBBackup, und. AWS-RestartEC2Instance Diese Anforderung gilt auch für alle von Ihnen erstellten benutzerdefinierten Runbooks, die andere aufrufen, AWS-Services indem sie Aktionen verwenden, die andere Services aufrufen. Wenn Sie unter anderem aws:executeAwsApi-, aws:CreateStack- oder aws:copyImage-Aktionen verwenden, dann müssen Sie die Servicerolle mit der Berechtigung zum Aufrufen solcher Services konfigurieren. Sie können Berechtigungen für andere aktivieren, AWS-Services indem Sie der Rolle eine IAM eingebundene Richtlinie hinzufügen.

So fügen Sie einer Übernahmerolle eine Inline-Richtlinie hinzu, um andere AWS-Services (IAMKonsole) aufzurufen
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Rollen aus.

  3. Wählen Sie in der Liste den Namen der Übernahmerolle aus, die Sie aktualisieren möchten, z. B MyChangeManagerAssumeRole.

  4. Wählen Sie die Registerkarte Berechtigungen.

  5. Wählen Sie Add permissions, Create inline policy (Berechtigungen hinzufügen, eingebundene Richtlinie erstellen).

  6. Wählen Sie die JSONRegisterkarte.

  7. Geben Sie ein JSON Richtliniendokument für die ein AWS-Services , die Sie aufrufen möchten. Nachfolgend sind zwei Beispiele JSON für Richtliniendokumente aufgeführt.

    Amazon-S3-PutObject und GetObject-Beispiel

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" } ] }

    Amazon EC2 CreateSnapshot und DescribeSnapShots Beispiel

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ec2:CreateSnapshot", "Resource":"*" }, { "Effect":"Allow", "Action":"ec2:DescribeSnapshots", "Resource":"*" } ] }

    Einzelheiten zur Formulierung der IAM Richtlinie finden Sie in der Referenz zu den IAM JSON Richtlinien im IAMBenutzerhandbuch.

  8. Wählen Sie, wenn Sie fertig sind, Review policy (Richtlinie überprüfen) aus. Die Richtlinienvalidierung meldet mögliche Syntaxfehler.

  9. Für Name geben Sie einen Namen zur Identifizierung der Richtlinie ein, die Sie erstellen. Überprüfen Sie unter Summary die Richtlinienzusammenfassung, um die Berechtigungen einzusehen, die von Ihrer Richtlinie gewährt werden. Wählen Sie dann Create policy aus, um Ihre Eingaben zu speichern.

  10. Nachdem Sie eine Inline-Richtlinie erstellt haben, wird sie automatisch in Ihre Rolle eingebettet.

Aufgabe 5: Konfigurieren des Benutzerzugriffs auf Change Manager

Wenn Ihrem Benutzer, Ihrer Gruppe oder Rolle Administratorrechte zugewiesen sind, haben Sie Zugriff auf Change Manager. Wenn Sie nicht über Administratorberechtigungen verfügen, muss ein Administrator die AmazonSSMFullAccess verwaltete Richtlinie oder eine Richtlinie, die vergleichbare Berechtigungen bereitstellt, Ihrem Benutzer, Ihrer Gruppe oder Ihrer Rolle zuweisen.

Verwenden des folgenden Verfahrens, um einen Benutzer zur Verwendung zu konfigurieren Change ManagerDer ausgewählte Benutzer verfügt über die Berechtigung zum Konfigurieren und Ausführen von . Change Manager.

Abhängig von der Identitätsanwendung, die Sie in Ihrer Organisation verwenden, können Sie eine der drei verfügbaren Optionen zum Konfigurieren des Benutzerzugriffs auswählen. Weisen Sie beim Konfigurieren des Benutzerzugriffs Folgendes zu oder fügen Sie Folgendes hinzu:

  1. Weisen Sie die AmazonSSMFullAccess-Richtlinie oder eine vergleichbare Richtlinie zu, die Zugriff auf Systems Manager gewährt.

  2. Weisen Sie die iam:PassRole-Richtlinie zu.

  3. Fügen Sie das hinzu ARN für Change Manager Nehmen Sie die Rolle an, die Sie am Ende von kopiert habenAufgabe 2: Erstellen einer Übernahmerolle für Change Manager.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Sie haben die Konfiguration der erforderlichen Rollen für abgeschlossen Change Manager. Sie können jetzt die verwenden Change Manager übernehme die Rolle ARN in deinem Change Manager Operationen.