Steuern Sie den Zugriff auf Wartungsfenster über die Konsole - AWS Systems Manager
Aufgabe 1: Erstellen Sie mithilfe der Konsole eine benutzerdefinierte Richtlinie für Ihre Wartungsfenster-ServicerolleAufgabe 2: Erstellen Sie mithilfe der Konsole eine benutzerdefinierte Servicerolle für WartungsfensterAufgabe 3: Erteilen Sie bestimmten Benutzern die Erlaubnis, Aufgaben im Wartungsfenster über die Konsole zu registrierenAufgabe 4: Verhindern, dass bestimmte Benutzer Aufgaben im Wartungsfenster über die Konsole registrieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Steuern Sie den Zugriff auf Wartungsfenster über die Konsole

In den folgenden Verfahren wird beschrieben, wie Sie die AWS Systems Manager Konsole verwenden, um die erforderlichen Berechtigungen und Rollen für Wartungsfenster zu erstellen.

Aufgabe 1: Erstellen Sie mithilfe der Konsole eine benutzerdefinierte Richtlinie für Ihre Wartungsfenster-Servicerolle

Für Aufgaben im Wartungsfenster ist eine IAM Rolle erforderlich, die die für die Ausführung auf den Zielressourcen erforderlichen Berechtigungen bereitstellt. Die Berechtigungen werden durch eine IAM Richtlinie bereitgestellt, die der Rolle zugeordnet ist. Die Arten von Aufgaben, die Sie ausführen, und Ihre anderen betrieblichen Anforderungen bestimmen den Inhalt dieser Richtlinie. Wir bieten eine Basisrichtlinie, die Sie an Ihre Bedürfnisse anpassen können. Abhängig von den Aufgaben und Arten von Aufgaben, die Ihre Wartungsfenster ausführen, benötigen Sie möglicherweise nicht alle Berechtigungen in dieser Richtlinie und müssen möglicherweise zusätzliche Berechtigungen einschließen. Sie hängen diese Richtlinie an die Rolle an, die Sie später in Aufgabe 2: Erstellen Sie mithilfe der Konsole eine benutzerdefinierte Servicerolle für Wartungsfenster erstellen.

Um eine benutzerdefinierte Richtlinie mit der Konsole zu erstellen

  1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Policies (Richtlinien) und dann Create policy (Richtlinie erstellen).

  3. Wählen Sie im Bereich Policy-Editor JSON.

  4. Ersetzen Sie die Standardinhalte durch folgenden Inhalt:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand",
                "ssm:CancelCommand",
                "ssm:ListCommands",
                "ssm:ListCommandInvocations",
                "ssm:GetCommandInvocation",
                "ssm:GetAutomationExecution",
                "ssm:StartAutomationExecution",
                "ssm:ListTagsForResource",
                "ssm:GetParameters"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "states:DescribeExecution",
                "states:StartExecution"
            ],
            "Resource": [
                "arn:aws:states:*:*:execution:*:*",
                "arn:aws:states:*:*:stateMachine:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "lambda:InvokeFunction"
            ],
            "Resource": [
                "arn:aws:lambda:*:*:function:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "resource-groups:ListGroups",
                "resource-groups:ListGroupResources"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "tag:GetResources"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "ssm.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

  5. Ändern Sie den JSON Inhalt nach Bedarf für die Wartungsaufgaben, die Sie in Ihrem Konto ausführen. Die Änderungen, die Sie vornehmen, beziehen sich auf Ihre geplanten Abläufe.

    Beispielsweise:

    • Sie können Amazon-Ressourcennamen (ARNs) für bestimmte Funktionen und Zustandsmaschinen angeben, anstatt Platzhalterkennungen (*) zu verwenden.

    • Wenn Sie nicht vorhaben, AWS Step Functions Aufgaben auszuführen, können Sie die states Berechtigungen und () ARNs entfernen.

    • Wenn Sie nicht vorhaben, AWS Lambda Aufgaben auszuführen, können Sie die lambda Berechtigungen und entfernenARNs.

    • Wenn Sie keine Automatisierungs-Aufgaben ausführen möchten, können Sie die ssm:GetAutomationExecution- und ssm:StartAutomationExecution-Berechtigungen entfernen.

    • Fügen Sie zusätzliche Berechtigungen hinzu, die möglicherweise für die Ausführung der Aufgaben erforderlich sind. Manche Automatisierungsaktionen basieren z. B. auf AWS CloudFormation -Stacks. Aus diesem Grund sind die Berechtigungen cloudformation:CreateStack, cloudformation:DescribeStacks und cloudformation:DeleteStack erforderlich.

      Ein anderes Beispiel: Für das Automation-Runbook AWS-CopySnapshot sind Berechtigungen erforderlich, um einen Amazon Elastic Block Store (AmazonEBS) -Snapshot zu erstellen. Daher benötigt die Servicerolle die Berechtigung ec2:CreateSnapshot.

      Informationen zu den Rollenberechtigungen, die von Automation-Runbooks benötigt werden, finden Sie in den Runbook-Beschreibungen in der Referenz zum AWS Systems Manager -Automation-Runbook..

  6. Nachdem Sie die Änderungen an den Richtlinien abgeschlossen haben, wählen Sie Weiter.

  7. Geben Sie als Richtlinienname einen Namen ein, der diese Richtlinie als die Richtlinie kennzeichnet, die der von Ihnen erstellten Servicerolle zugeordnet ist. Beispiel: my-maintenance-window-role-policy.

  8. (Optional) Fügen Sie im Bereich Tags hinzufügen ein oder mehrere Tag-Schlüssel-Wertepaare hinzu, um den Zugriff auf diese Richtlinie zu organisieren, nachzuverfolgen oder zu kontrollieren.

  9. Wählen Sie Create Policy (Richtlinie erstellen) aus.

    Notieren Sie sich den Namen, den Sie für die Richtlinie angegeben haben. Sie beziehen sich im nächsten Verfahren, Aufgabe 2: Erstellen Sie mithilfe der Konsole eine benutzerdefinierte Servicerolle für Wartungsfenster, darauf.

Aufgabe 2: Erstellen Sie mithilfe der Konsole eine benutzerdefinierte Servicerolle für Wartungsfenster

Die Richtlinie, die Sie in der vorherigen Aufgabe erstellt haben, ist der Servicerolle „Wartungsfenster“ zugeordnet, die Sie in dieser Aufgabe erstellen. Wenn Benutzer eine Wartungsfensteraufgabe registrieren, geben sie diese IAM Rolle als Teil der Aufgabenkonfiguration an. Die Berechtigungen in dieser Rolle ermöglichen es Systems Manager, Wartungsfenster-Aufgaben in Ihrem Namen auszuführen.

Wichtig

Bisher bot Ihnen die Systems Manager Manager-Konsole die Möglichkeit, die AWS verwaltete, IAM serviceverknüpfte Rolle auszuwählenAWSServiceRoleForAmazonSSM, die Sie als Wartungsrolle für Ihre Aufgaben verwenden möchten. Die Verwendung dieser Rolle und der zugehörigen Richtlinie, AmazonSSMServiceRolePolicy, für Wartungsfenster-Aufgaben wird nicht mehr empfohlen. Wenn Sie diese Rolle jetzt für Wartungsfenster-Aufgaben verwenden, empfehlen wir Ihnen, sie nicht mehr zu verwenden. Erstellen Sie stattdessen Ihre eigene IAM Rolle, die die Kommunikation zwischen Systems Manager und anderen ermöglicht, AWS-Services wenn Ihre Wartungsfensteraufgaben ausgeführt werden.

Gehen Sie wie folgt vor, um eine benutzerdefinierte Servicerolle für zu erstellen Maintenance Windows, damit Systems Manager ausgeführt werden kann Maintenance Windows Aufgaben in Ihrem Namen. Sie fügen die Richtlinie, die Sie in der vorherigen Aufgabe erstellt haben, der von Ihnen erstellten benutzerdefinierten Servicerolle hinzu.

Um mithilfe der Konsole eine benutzerdefinierte Servicerolle für Wartungsfenster zu erstellen

  1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Roles (Rollen) und dann Create role (Rolle erstellen).

  3. Wählen Sie für Select trusted entity (Vertrauenswürdige Entität auswählen) die folgenden Optionen:

    1. Wählen Sie unter Vertrauenswürdiger Entitätstyp die Option AWS -Service aus.

    2. Wählen Sie als Anwendungsfall Systems Manager

    3. Wählen Sie Systems Manager.

      In der folgenden Abbildung wird die Position der Systems Manager Manager-Option hervorgehoben.

      Systems Manager ist eine der Optionen für den Anwendungsfall.

  4. Wählen Sie Weiter.

  5. Geben Sie im Bereich Berechtigungsrichtlinien in das Suchfeld den Namen der Richtlinie ein, in der Sie sie erstellt habenAufgabe 1: Erstellen Sie mithilfe der Konsole eine benutzerdefinierte Richtlinie für Ihre Wartungsfenster-Servicerolle, wählen Sie das Feld neben dem Namen aus, und klicken Sie dann auf Weiter.

  6. Geben Sie im Feld Rollenname einen Namen ein, der diese Rolle als Maintenance Windows Rolle. Beispiel: my-maintenance-window-role.

  7. (Optional) Ändern der Standardrollenbeschreibung, um den Zweck dieser Rolle anzuzeigen. Beispiel: Performs maintenance window tasks on your behalf.

  8. Stellen Sie für Schritt 1: Vertrauenswürdige Entitäten auswählen sicher, dass die folgende Richtlinie im Feld Vertrauenswürdige Richtlinie angezeigt wird.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "ssm.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  9. Stellen Sie für Schritt 2: Berechtigungen hinzufügen sicher, dass die Richtlinie, in der Sie sie erstellt haben, vorhanden Aufgabe 1: Erstellen Sie mithilfe der Konsole eine benutzerdefinierte Richtlinie für Ihre Wartungsfenster-Servicerolle ist.

  10. (Optional) Fügen Sie in Schritt 3: Tags hinzufügen ein oder mehrere Tag-Schlüssel-Wertepaare hinzu, um den Zugriff für diese Rolle zu organisieren, nachzuverfolgen oder zu kontrollieren.

  11. Wählen Sie Create role (Rolle erstellen) aus. Das System leitet Sie zur Seite Roles (Rollen) zurück.

  12. Wählen Sie den Namen der IAM Rolle, die Sie gerade erstellt haben.

  13. Kopieren oder notieren Sie sich den Rollennamen und den ARNWert im Bereich Zusammenfassung. Benutzer in Ihrem Konto geben diese Informationen an, wenn sie Wartungsfenster erstellen.

Aufgabe 3: Erteilen Sie bestimmten Benutzern die Erlaubnis, Aufgaben im Wartungsfenster über die Konsole zu registrieren

Wenn Sie Benutzern Berechtigungen für den Zugriff auf die benutzerdefinierte Servicerolle für Wartungsfenster gewähren, können sie diese Rolle für ihre Wartungsaufgaben in Windows verwenden. Dies gilt zusätzlich zu den Berechtigungen, die Sie ihnen bereits für die Arbeit mit den Systems Manager API Manager-Befehlen für die Maintenance Windows Fähigkeit. Diese IAM Rolle vermittelt die Berechtigungen, die für die Ausführung einer Wartungsfensteraufgabe erforderlich sind. Daher kann ein Benutzer mithilfe Ihrer benutzerdefinierten Servicerolle keine Aufgaben in einem Wartungsfenster registrieren, ohne diese IAM Berechtigungen weitergeben zu können.

Wenn Sie eine Aufgabe mit einem Wartungsfenster registrieren, geben Sie eine Servicerolle an, um die eigentlichen Aufgabenvorgänge auszuführen. Hierbei handelt es sich um die Rolle, die vom Service angenommen wird, wenn Aufgaben in Ihrem Namen ausgeführt werden. Um die Aufgabe selbst zu registrieren, weisen Sie die IAM PassRole Richtlinie zuvor einer IAM Entität zu (z. B. einem Benutzer oder einer Gruppe). Auf diese Weise kann die IAM Entität im Rahmen der Registrierung dieser Aufgaben im Wartungsfenster die Rolle angeben, die bei der Ausführung von Aufgaben verwendet werden soll. Weitere Informationen finden Sie im Benutzerhandbuch unter Gewähren von Benutzerberechtigungen zur Übergabe einer Rolle AWS-Service an einen. IAM

So konfigurieren Sie Berechtigungen, die es Benutzern ermöglichen, Aufgaben im Wartungsfenster zu registrieren

Wenn eine IAM Entität (Benutzer, Rolle oder Gruppe) mit Administratorrechten eingerichtet ist, hat der IAM Benutzer oder die Rolle Zugriff auf Wartungsfenster. Für IAM Entitäten ohne Administratorrechte muss ein Administrator der IAM Entität die folgenden Berechtigungen gewähren. Dies sind die Mindestberechtigungen, die erforderlich sind, um Aufgaben in einem Wartungsfenster zu registrieren:

  • Die von AmazonSSMFullAccess verwaltete Richtlinie oder eine Richtlinie, die vergleichbare Berechtigungen bereitstellt.

  • Die folgenden iam:PassRole- und iam:ListRoles-Berechtigungen.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/my-maintenance-window-role"
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::account-id:role/"
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::account-id:role/aws-service-role/ssm.amazonaws.com/"
        }
    ]
}

    my-maintenance-window-role steht für den Namen der benutzerdefinierten Servicerolle für das Wartungsfenster, die Sie zuvor erstellt haben.

    account-id steht für die ID Ihres AWS-Konto. Durch das Hinzufügen dieser Berechtigung für die Ressource arn:aws:iam::account-id:role/ können Benutzer Kundenrollen in der Konsole anzeigen und auswählen, wenn sie eine Wartungsfensteraufgabe erstellen. Durch das Hinzufügen dieser Berechtigung für arn:aws:iam::account-id:role/aws-service-role/ssm.amazonaws.com/ können Benutzer die mit dem Systems Manager-Service verknüpfte Rolle in der Konsole auswählen, wenn sie eine Wartungsfensteraufgabe erstellen.

    Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

So konfigurieren Sie Berechtigungen für Gruppen, die Wartungsfensteraufgaben über die Konsole registrieren dürfen

  1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Groups oder Users.

  3. Wählen Sie in der Gruppenliste den Namen der Gruppe aus, der Sie die iam:PassRole Berechtigung zuweisen möchten, oder erstellen Sie gegebenenfalls zunächst eine neue Gruppe

  4. Wählen Sie auf der Registerkarte Permissions (Berechtigungen) die Optionen Add permissions, Create Inline Policy (Berechtigungen hinzufügen, Inline-Richtlinie erstellen) aus.

  5. Wählen Sie im Bereich Policy-Editor den Standardinhalt des Felds aus JSON, und ersetzen Sie ihn durch den folgenden Inhalt.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/my-maintenance-window-role"
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::account-id:role/"
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::account-id:role/aws-service-role/ssm.amazonaws.com/"
        }
    ]
}

    my-maintenance-window-role steht für den Namen der benutzerdefinierten Rolle im Wartungsfenster, die Sie zuvor erstellt haben.

    account-id steht für die ID Ihres AWS-Konto. Durch das Hinzufügen dieser Berechtigung für die Ressource arn:aws:iam::account-id:role/ können Benutzer Kundenrollen in der Konsole anzeigen und auswählen, wenn sie eine Wartungsfensteraufgabe erstellen. Durch das Hinzufügen dieser Berechtigung für arn:aws:iam::account-id:role/aws-service-role/ssm.amazonaws.com/ können Benutzer die mit dem Systems Manager-Service verknüpfte Rolle in der Konsole auswählen, wenn sie eine Wartungsfensteraufgabe erstellen.

  6. Wählen Sie Weiter.

  7. Geben Sie auf der Seite Überprüfen und erstellen einen Namen in das Feld Richtlinienname ein, um diese PassRole Richtlinie zu identifizieren, z. B.my-group-iam-passrole-policy, und wählen Sie dann Richtlinie erstellen aus.

Aufgabe 4: Verhindern, dass bestimmte Benutzer Aufgaben im Wartungsfenster über die Konsole registrieren

Sie können Benutzern in Ihrer Umgebung, die Sie nicht möchten AWS-Konto , die ssm:RegisterTaskWithMaintenanceWindow Erlaubnis verweigern, Aufgaben in Wartungsfenstern zu registrieren. Dies bietet eine zusätzliche Verhinderungsebene für Benutzer, die keine Wartungsfenster-Aufgaben registrieren sollten.

So konfigurieren Sie mithilfe der Konsole Berechtigungen für Gruppen, denen es nicht gestattet ist, Aufgaben im Wartungsfenster zu registrieren

  1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Groups oder Users.

  3. Wählen Sie in der Gruppenliste den Namen der Gruppe aus, der Sie die ssm:RegisterTaskWithMaintenanceWindow Berechtigung verweigern möchten, oder erstellen Sie gegebenenfalls zunächst eine neue Gruppe.

  4. Wählen Sie auf der Registerkarte Permissions (Berechtigungen) die Optionen Add permissions, Create Inline Policy (Berechtigungen hinzufügen, Inline-Richtlinie erstellen) aus.

  5. Wählen Sie im Bereich Richtlinien-Editor den Standardinhalt des Felds aus JSON, und ersetzen Sie ihn dann durch den folgenden Inhalt.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ssm:RegisterTaskWithMaintenanceWindow",
            "Resource": "*"
        }
    ]
}

  6. Wählen Sie Weiter.

  7. Geben Sie auf der Seite Überprüfen und erstellen als Richtlinienname einen Namen zur Identifizierung dieser Richtlinie ein, z. B.my-groups-deny-mw-tasks-policy, und wählen Sie dann Richtlinie erstellen aus.