Automatisierungen in mehreren Konten AWS-Regionen ausführen - AWS Systems Manager
Einrichten von Managementkonto-Berechtigungen für regionen- und kontenübergreifende Automatisierungen.Ausführen von Automatisierungen in mehreren Regionen und Konten (Konsole)Ausführen von Automatisierungen in mehreren Regionen und Konten (Befehlszeile)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Automatisierungen in mehreren Konten AWS-Regionen ausführen

Sie können AWS Systems Manager Automatisierungen für mehrere AWS-Konten und/oder AWS-Regionen AWS Organizations organisatorische Einheiten (OUs) von einem zentralen Konto aus ausführen. Automatisierung ist eine Fähigkeit von. AWS Systems Manager Durch die Ausführung von Automatisierungen in mehreren Regionen und Konten OUs wird der Zeitaufwand für die Verwaltung Ihrer AWS Ressourcen reduziert und gleichzeitig die Sicherheit Ihrer Computerumgebung verbessert.

Sie können z. B. Folgendes tun, indem Sie Automatisierungs-Runbooks verwenden:

  • Implementieren Sie Patches und Sicherheitsupdates zentral.

  • Beheben Sie Compliance-Abweichungen bei VPC Konfigurationen oder Amazon S3 S3-Bucket-Richtlinien.

  • Verwalten Sie Ressourcen wie Amazon Elastic Compute Cloud (AmazonEC2) EC2 -Instances in großem Umfang.

Das folgende Diagramm zeigt ein Beispiel für einen Benutzer, der das AWS-RestartEC2Instances-Runbook in mehreren Regionen und Konten von einem zentralen Konto aus ausführt. Die Automatisierung sucht die Instances unter Verwendung der angegebenen Tags in den Zielregionen und -konten.

Anmerkung

Wenn Sie eine Automatisierung über mehrere Regionen und Konten hinweg ausführen, können Sie Ressourcen mithilfe von Tags oder dem Namen einer AWS Ressourcengruppe gezielt einsetzen. Die Ressourcengruppe muss in jedem Zielkonto und jeder Region vorhanden sein. Der Name der Ressourcengruppe muss in jedem Zielkonto und jeder Region identisch sein. Die Automatisierung schlägt für Ressourcen fehl, die nicht über das angegebene Tag verfügen oder die nicht in der angegebenen Ressourcengruppe enthalten sind.

Abbildung der Ausführung von Systems Manager Automation in mehreren Regionen und Konten.
Auswählen eines zentralen Kontos für Automation

Wenn Sie Automatisierungen übergreifend ausführen möchtenOUs, muss das zentrale Konto über die Berechtigungen verfügen, alle Konten in der OUs aufzulisten. Dies ist nur über ein delegiertes Administratorkonto oder das Verwaltungskonto der Organisation möglich. Wir empfehlen Ihnen, AWS Organizations bewährte Methoden zu befolgen und ein delegiertes Administratorkonto zu verwenden. Weitere Informationen zu AWS Organizations bewährten Methoden finden Sie unter Bewährte Methoden für das Verwaltungskonto im AWS Organizations Benutzerhandbuch. Um ein delegiertes Administratorkonto für Systems Manager zu erstellen, können Sie den register-delegated-administrator Befehl mit dem verwenden, AWS CLI wie im folgenden Beispiel gezeigt.

aws organizations register-delegated-administrator \
    --account-id delegated admin account ID \
    --service-principal ssm.amazonaws.com

Wenn Sie Automatisierungen für mehrere Konten ausführen möchten, die nicht von AWS Organizations verwaltet werden, empfehlen wir, ein dediziertes Konto für die Automatisierungsverwaltung zu erstellen. Die Ausführung aller kontenübergreifenden Automatisierungen von einem speziellen Konto aus vereinfacht die Verwaltung von IAM Berechtigungen und die Problembehebung und schafft eine Trennungsebene zwischen Betrieb und Verwaltung. Dieser Ansatz wird auch empfohlen, wenn Sie einzelne Konten verwenden AWS Organizations, aber nicht darauf abzielen möchten. OUs

So funktioniert das Ausführen von Automatisierungen

Das Ausführen von Automatisierungen über mehrere Regionen und Konten hinweg OUs funktioniert wie folgt:

  1. Stellen Sie sicher, dass alle Ressourcen, auf denen Sie die Automatisierung ausführen möchten, in allen Regionen und Konten oderOUs, identische Tags verwenden. Wenn dies nicht der Fall ist, können Sie sie einer AWS Ressourcengruppe hinzufügen und diese Gruppe gezielt ansprechen. Weitere Informationen finden Sie unter Was sind Ressourcengruppen? im AWS Resource Groups - und Tags-Benutzerhandbuch.

  2. Melden Sie sich bei dem Konto an, das Sie als zentrales Automation-Konto konfigurieren möchten.

  3. Verwenden Sie das Einrichten von Managementkonto-Berechtigungen für regionen- und kontenübergreifende Automatisierungen. Verfahren in diesem Thema, um die folgenden IAM Rollen zu erstellen:

    • AWS-SystemsManager-AutomationAdministrationRole- Diese Rolle gibt dem Benutzer die Erlaubnis, Automatisierungen in mehreren Konten auszuführen undOUs.

    • AWS-SystemsManager-AutomationExecutionRole – Diese Rolle erteilt dem Benutzer die Berechtigung, Automatisierungen in den Zielkonten auszuführen.

  4. Wählen Sie das Runbook, die Regionen und die Konten oder den Ort aus, OUs an dem Sie die Automatisierung ausführen möchten.

    Anmerkung

    Automatisierungen werden nicht rekursiv ausgeführt. OUs Stellen Sie sicher, dass die Zielorganisationseinheit die gewünschten Konten enthält. Wenn Sie ein benutzerdefiniertes Runbook auswählen, muss das Runbook für alle Zielkonten freigegeben werden. Weitere Informationen zum Teilen von Runbooks finden Sie unter Freigeben von SSM-Dokumenten. Weitere Informationen zur Verwendung von freigegebenen Runbooks finden Sie unter Verwenden von freigegebenen SSM-Dokumenten.

  5. Führen Sie die Automatisierung aus.

    Anmerkung

    Wenn Sie Automatisierungen über mehrere Regionen, Konten oder mehrere Konten hinweg ausführen, startet die AutomatisierungOUs, die Sie über das Hauptkonto ausführen, untergeordnete Automatisierungen in jedem der Zielkonten. Die Automatisierung im primären Konto enthält aws:executeAutomation-Schritte für jedes der Zielkonten. Wenn Sie eine Automatisierung aus neuen Regionen starten, die nach dem 20. März 2019 gestartet wurden, und auf eine Region abzielen, die standardmäßig aktiviert ist, schlägt die Automatisierung fehl. Wenn Sie eine Automatisierung aus einer Region starten, die standardmäßig aktiviert ist, und auf eine Region abzielen, die Sie aktiviert haben, wird die Automatisierung erfolgreich ausgeführt.

  6. Verwenden Sie die DescribeAutomationExecutionsAPIOperationen GetAutomationExecutionDescribeAutomationStepExecutions, und von der AWS Systems Manager Konsole aus oder die, AWS CLI um den Automatisierungsfortschritt zu überwachen. Die Ausgabe der Schritte für die Automatisierung in Ihrem primären Konto wird die AutomationExecutionId der untergeordneten Automatisierungen sein. Um die Ausgabe der untergeordneten Automatisierungen anzuzeigen, die in Ihren Zielkonten erstellt wurden, müssen Sie das entsprechende Konto, die Region und die AutomationExecutionId In Ihrer Anfrage angeben.

Einrichten von Managementkonto-Berechtigungen für regionen- und kontenübergreifende Automatisierungen.

Gehen Sie wie folgt vor, um die erforderlichen IAM Rollen für Systems Manager Automation Multi-Regions- und Multi-Account-Automatisierung zu erstellen, indem Sie. AWS CloudFormation In diesem Verfahren wird beschrieben, wie Sie die AWS-SystemsManager-AutomationAdministrationRole-Rolle erstellen. Sie müssen nur diese Rolle im zentralen Automation-Konto erstellen. In diesem Verfahren wird auch beschrieben, wie Sie die AWS-SystemsManager-AutomationExecutionRole-Rolle erstellen. Sie müssen diese Rolle in jedem Konto erstellen, das für die Ausführung von regionen- und kontenübergreifenden Automatisierungen verwendet werden soll. Wir empfehlen AWS CloudFormation StackSets , diese Option zu verwenden, um die AWS-SystemsManager-AutomationExecutionRole Rolle in den Konten zu erstellen, auf die Sie für die Ausführung von Automatisierungen mit mehreren Regionen und Konten abzielen möchten.

Um die erforderliche IAM Administratorrolle für Automatisierungen mit mehreren Regionen und mehreren Konten zu erstellen, verwenden Sie AWS CloudFormation

  1. Laden Sie das AWS-SystemsManager-AutomationAdministrationRole.zip herunter und entpacken Sie es. Oder, wenn Ihre Konten verwaltet werden von. AWS Organizations AWS-SystemsManager-AutomationAdministrationRole (org).zip Diese Datei enthält die AWS-SystemsManager-AutomationAdministrationRole.yaml AWS CloudFormation Vorlagendatei.

  2. Öffnen Sie die AWS CloudFormation Konsole unter https://console.aws.amazon.com/cloudformation.

  3. Wählen Sie Stack erstellen aus.

  4. Wählen Sie im Abschnitt Specify template (Vorlage angeben) die Option Upload a template (Vorlage hochladen).

  5. Wählen Sie Datei auswählen und wählen Sie dann die AWS-SystemsManager-AutomationAdministrationRole.yaml AWS CloudFormation Vorlagendatei aus.

  6. Wählen Sie Weiter.

  7. Geben Sie auf der Seite Specify Stack details (Stack-Details angeben) im Feld Stack name (Stack-Name) einen Namen ein.

  8. Wählen Sie Weiter.

  9. Geben Sie auf der Seite Configure stack options (Stack-Optionen konfigurieren) Werte für die Optionen ein, die Sie verwenden möchten. Wählen Sie Weiter.

  10. Scrollen Sie auf der Bewertungsseite nach unten und wählen Sie die Option Ich bestätige, dass AWS CloudFormation möglicherweise IAM Ressourcen mit benutzerdefinierten Namen erstellt werden.

  11. Wählen Sie Stack erstellen aus.

AWS CloudFormation zeigt den CREATEPROGRESS_IN_-Status für ungefähr drei Minuten an. Der Status ändert sich zu _. CREATE COMPLETE

Sie müssen die folgende Vorgehensweise in jedem Konto, für das Sie regionen- und kontenübergreifende Automatisierungen ausführen möchten, wiederholen.

Um die erforderliche IAM Automatisierungsrolle für Automatisierungen mit mehreren Regionen und Konten zu erstellen, verwenden Sie AWS CloudFormation

  1. Laden Sie das AWS-SystemsManager-AutomationExecutionRole.zip herunter. Oder, wenn Ihre Konten verwaltet werden von. AWS Organizations AWS-SystemsManager-AutomationExecutionRole (org).zip Diese Datei enthält die AWS-SystemsManager-AutomationExecutionRole.yaml AWS CloudFormation Vorlagendatei.

  2. Öffnen Sie die AWS CloudFormation Konsole unter https://console.aws.amazon.com/cloudformation.

  3. Wählen Sie Stack erstellen aus.

  4. Wählen Sie im Abschnitt Specify template (Vorlage angeben) die Option Upload a template (Vorlage hochladen).

  5. Wählen Sie Datei auswählen und wählen Sie dann die AWS-SystemsManager-AutomationExecutionRole.yaml AWS CloudFormation Vorlagendatei aus.

  6. Wählen Sie Weiter.

  7. Geben Sie auf der Seite Specify Stack details (Stack-Details angeben) im Feld Stack name (Stack-Name) einen Namen ein.

  8. Geben Sie im Abschnitt Parameter in das AdminAccountIdFeld die ID für das zentrale Automation-Konto ein.

  9. Wenn Sie diese Rolle für eine AWS Organizations Umgebung einrichten, gibt es im Abschnitt ein weiteres Feld namens OrganizationID. Geben Sie die ID Ihrer AWS Organisation ein.

  10. Wählen Sie Weiter.

  11. Geben Sie auf der Seite Configure stack options (Stack-Optionen konfigurieren) Werte für die Optionen ein, die Sie verwenden möchten. Wählen Sie Weiter.

  12. Scrollen Sie auf der Bewertungsseite nach unten und wählen Sie die Option Ich bestätige, dass AWS CloudFormation möglicherweise IAM Ressourcen mit benutzerdefinierten Namen erstellt werden.

  13. Wählen Sie Stack erstellen aus.

AWS CloudFormation zeigt den CREATEPROGRESS_IN_-Status für ungefähr drei Minuten an. Der Status ändert sich zu _. CREATE COMPLETE

Ausführen von Automatisierungen in mehreren Regionen und Konten (Konsole)

Im folgenden Verfahren wird beschrieben, wie Sie mithilfe der Systems Manager-Konsole eine Automatisierung in mehreren Regionen und Konten über das Automation-Managementkonto ausführen.

Bevor Sie beginnen

Bevor Sie das folgende Verfahren ausführen, beachten Sie die folgenden Informationen:

  • Der Benutzer oder die Rolle, mit der Sie eine Automation für mehrere Regionen oder Konten ausführen, muss über die Berechtigung iam:PassRole für die Rolle AWS-SystemsManager-AutomationAdministrationRole verfügen.

  • AWS-Konto IDsoder OUs wo Sie die Automatisierung ausführen möchten.

  • Von Systems Manager unterstützte Regionen, in denen Sie die Automatisierung ausführen möchten.

  • Den Tag-Schlüssel und den Tag-Wert oder den Namen der Ressourcengruppe für die Ausführung der Automatisierung.

So führen Sie eine Automatisierung in mehreren Regionen und Konten aus

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Automation (Automatisierung) und Execute automation (Automatisierung ausführen) aus.

  3. Wählen Sie in der Liste Automation-Dokument ein Runbook. Wählen Sie im Bereich Dokumentkategorien eine oder mehrere Optionen aus, um SSM Dokumente nach ihrem Zweck zu filtern. Um ein Runbook anzuzeigen, das Sie besitzen, wählen Sie die Im Besitz von mir-Registerkarte. Um ein Runbook anzuzeigen, das für Ihr Konto freigegeben ist, wählen Sie die Mit mir geteilt-Registerkarte. Um alle Runbooks anzuzeigen, wählen Sie die Alle Dokumente-Registerkarte.

    Anmerkung

    Sie können Informationen zu einem Runbook einsehen, indem Sie den Runbook-Namen auswählen.

  4. Überprüfen Sie im Abschnitt Document details (Dokument-Details), ob Document version (Dokumentversion) auf die Version gesetzt ist, die Sie ausführen möchten. Das System bietet die folgenden Versionsoptionen:

    • Standardversion zur Laufzeit – Wählen Sie diese Option aus, wenn das Automation-Runbook regelmäßig aktualisiert wird und eine neue Standardversion zugewiesen ist.

    • Letzte Version zur Laufzeit – Wählen Sie diese Option aus, wenn das Automation-Runbook regelmäßig aktualisiert wird, und Sie die Version auszuführen möchten, die zuletzt aktualisiert wurde.

    • 1 (Standard) – Wählen Sie diese Option zur Ausführung der ersten Version des Dokuments, welches der Standard ist.

  5. Wählen Sie Weiter.

  6. Wählen Sie auf der Seite Execute automation document (Automation-Dokument ausführen) die Option Multi-account and Region (Mehrere Konten und Regionen).

  7. Verwenden Sie im Abschnitt Zielkonten und Regionen das Feld Konten und Organisation (OUs), um die verschiedenen Organisationseinheiten AWS-Konten oder AWS Organisationseinheiten (OUs) anzugeben, in denen Sie die Automatisierung ausführen möchten. Trennen Sie mehrere Konten oder OUs durch ein Komma voneinander.

  8. Verwenden Sie die Liste AWS-Regionen zur Auswahl einer oder mehrerer Regionen für die Ausführung der Automatisierung.

  9. Verwenden Sie die Optionen für Multi-Region and account rate control (Regionen- und kontenübergreifende Ratensteuerung), um die Automatisierungen auf eine begrenzte Anzahl von Konten in einer begrenzten Anzahl von Regionen zu beschränken. Diese Optionen schränken nicht die Anzahl der AWS -Ressourcen ein, die die Automatisierungen ausführen können.

    1. Wählen Sie im Abschnitt Location (account-Region pair) concurrency (Standort- (Konto-Region-Paar) Gleichzeitigkeit) eine Option, um die Anzahl der Automatisierungen zu begrenzen, die gleichzeitig in mehreren Konten und Regionen ausgeführt werden können. Wenn Sie sich beispielsweise dafür entscheiden, eine Automatisierung in fünf (5) auszuführen AWS-Konten, die sich in vier (4) befinden AWS-Regionen, führt Systems Manager Automatisierungen in insgesamt 20 Konto-Region-Paaren aus. Sie können diese Option verwenden, um eine absolute Zahl anzugeben, z. B. 2, sodass die Automatisierung nur in 2 Konto-Region-Paaren gleichzeitig ausgeführt wird. Sie können aber auch einen Prozentsatz der Konto-Region-Paare angeben, der gleichzeitig ausgeführt werden kann. Beispielsweise geben Sie bei 20 Konto-Region-Paaren 20 % an: Dann wird die Automatisierung in maximal fünf (5) Konto-Region-Paaren gleichzeitig ausgeführt.

      • Wählen Sie targets (Ziele) aus, um eine absolute Anzahl von Konto-Region-Paaren einzugeben, die die Automatisierung gleichzeitig ausführen können.

      • Wählen Sie percent (Prozent) aus, um einen Prozentsatz von Konto-Region-Paaren einzugeben, die die Automatisierung gleichzeitig ausführen können.

    2. Wählen Sie im Abschnitt Error threshold (Fehlerschwellenwert) eine Option aus:

      • Wählen Sie errors (Fehler), um eine absolute Anzahl von zulässigen Fehlern anzugeben, bevor die Automation damit aufhört, die Automatisierung an andere Ressourcen zu senden.

      • Wählen Sie percentage aus, um einen Prozentsatz von zulässigen Fehlern anzugeben, bevor Automation damit aufhört, die Automatisierung an andere Ressourcen zu senden.

  10. Wählen Sie im Abschnitt Ziele aus, wie Sie die AWS Ressourcen gezielt einsetzen möchten, auf die Sie die Automatisierung ausführen möchten. Diese Optionen sind erforderlich.

    1. Wählen Sie in der Liste Parameter (Parameter) einen Parameter aus. Die Elemente in der Liste Parameter richten sich nach den Parametern in dem Automation-Runbook, das Sie zu Beginn dieses Verfahrens ausgewählt haben. Durch Auswahl eines Parameters legen Sie den Typ der Ressource fest, für die der Automation-Workflow ausgeführt wird.

    2. Wählen Sie in der Liste Targets (Ziele)aus, wie Sie Ressourcen als Ziele verwenden möchten.

      1. Wenn Sie die Zielressourcen mithilfe von Parameterwerten ausgewählt haben, geben Sie den Parameterwert für den gewählten Parameter im Feld Eingabeparameter eingeben ein.

      2. Wenn Sie Ressourcen mithilfe von als Ziel verwenden möchten AWS Resource Groups, wählen Sie den Namen der Gruppe aus der Liste der Ressourcengruppen aus.

      3. Wenn Sie die Zielressourcen mithilfe von Tags ausgewählt haben, geben Sie den Tag-Schlüssel und (optional) den Tag-Wert in die entsprechenden Felder ein. Wählen Sie Hinzufügen aus.

      4. Wenn Sie ein Automatisierungs-Runbook auf allen Instanzen im aktuellen AWS-Konto und ausführen möchten AWS-Region, wählen Sie Alle Instanzen aus.

  11. Geben Sie im Abschnitt Input Parameters (Eingabeparameter) die erforderlichen Eingaben an. Wählen Sie die AWS-SystemsManager-AutomationAdministrationRole IAM Servicerolle aus der AutomationAssumeRoleListe aus.

    Anmerkung

    Möglicherweise müssen Sie einige der Optionen im Abschnitt Input parameters (Eingabeparameter) nicht auswählen. Dies liegt daran, dass Sie Ressourcen in mehreren Regionen und Konten mithilfe von Tags oder einer Ressourcengruppe als Ziele ausgewählt haben. Wenn Sie beispielsweise das AWS-RestartEC2Instance Runbook ausgewählt haben, müssen Sie IDs im Abschnitt Eingabeparameter keine Instanz angeben oder auswählen. Die Automatisierung sucht die Instances für den Neustart mit den von Ihnen angegebenen Tags.

  12. (Optional) Wählen Sie einen CloudWatch Alarm aus, der zur Überwachung auf Ihre Automatisierung angewendet werden soll. Um Ihrer Automatisierung einen CloudWatch Alarm hinzuzufügen, muss der IAM Principal, der die Automatisierung startet, über die Genehmigung für die iam:createServiceLinkedRole Aktion verfügen. Weitere Informationen zu CloudWatch Alarmen finden Sie unter CloudWatch Amazon-Alarme verwenden. Beachten Sie, dass, wenn Ihr Alarm ausgelöst wird, die Automatisierung abgebrochen wird und alle von Ihnen definierten OnCancel-Schritte ausgeführt werden. Wenn Sie diese Option verwenden AWS CloudTrail, wird Ihnen der API Anruf in Ihrer Spur angezeigt.

  13. Verwenden Sie die Optionen im Abschnitt Preissteuerung, um die Anzahl der AWS Ressourcen zu beschränken, die die Automatisierung innerhalb jedes Konto-Region-Paares ausführen können.

    Wählen Sie im Abschnitt Concurrency (Gleichzeitigkeit) eine Option aus:

    • Wählen Sie targets (Ziele) aus, um eine absolute Anzahl von Zielen einzugeben, die den Automation-Workflow gleichzeitig ausführen können.

    • Wählen Sie percentage (Prozentsatz) aus, um einen Prozentsatz der Ziele anzugeben, die den Automation-Workflow gleichzeitig ausführen können.

  14. Wählen Sie im Abschnitt Error threshold (Fehlerschwellenwert) eine Option aus:

    • Wählen Sie errors (Fehler), um eine absolute Anzahl von zulässigen Fehlern anzugeben, bevor Automation damit aufhört, den Workflow an andere Ressourcen zu senden.

    • Wählen Sie percentage (Prozentsatz) aus, um einen Prozentsatz von zulässigen Fehlern anzugeben, bevor Automation damit aufhört, den Workflow an andere Ressourcen zu senden.

  15. Wählen Sie Execute (Ausführen).

Ausführen von Automatisierungen in mehreren Regionen und Konten (Befehlszeile)

Das folgende Verfahren beschreibt, wie Sie das AWS CLI (unter Linux oder Windows) verwenden oder AWS Tools for PowerShell eine Automatisierung in mehreren Regionen und Konten vom Automatisierungsverwaltungskonto aus ausführen können.

Bevor Sie beginnen

Bevor Sie das folgende Verfahren ausführen, beachten Sie die folgenden Informationen:

  • AWS-Konto IDsoder OUs wo Sie die Automatisierung ausführen möchten.

  • Von Systems Manager unterstützte Regionen, in denen Sie die Automatisierung ausführen möchten.

  • Den Tag-Schlüssel und den Tag-Wert oder den Namen der Ressourcengruppe für die Ausführung der Automatisierung.

So führen Sie eine Automatisierung in mehreren Regionen und Konten aus

  1. Installieren und konfigurieren Sie das AWS CLI oder das AWS Tools for PowerShell, falls Sie es noch nicht getan haben.

    Weitere Informationen finden Sie unter Installieren oder Aktualisieren der neuesten Version der AWS CLI und Installieren des AWS Tools for PowerShell.

  2. Verwenden Sie das folgende Format, um eine Automatisierung in mehreren Regionen und Konten auszuführen. Ersetze jedes example resource placeholder mit Ihren eigenen Informationen.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name runbook name \
        --parameters AutomationAssumeRole=arn:aws:iam::management account ID:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name parameter name \
        --targets Key=tag key,Values=value \
        --target-locations Accounts=account ID,account ID 2,Regions=Region,Region 2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name runbook name ^
        --parameters AutomationAssumeRole=arn:aws:iam::management account ID:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name parameter name ^
        --targets Key=tag key,Values=value ^
        --target-locations Accounts=account ID,account ID 2,Regions=Region,Region 2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "tag key"
    $Targets.Values = "value"
    
    Start-SSMAutomationExecution `
        -DocumentName "runbook name" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::management account ID:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "parameter name" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="account ID","account ID 2";
        "Regions"="Region","Region 2";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    Im Folgenden finden Sie einige Beispiele.

    Beispiel 1: In diesem Beispiel werden EC2 Instanzen in den 987654321098 Konten 123456789012 und neu gestartet, die sich in den us-west-1 Regionen us-east-2 und befinden. Die Instances müssen mit dem Tag-Schlüsselpaarwert Env-PROD markiert sein.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name AWS-RestartEC2Instance \
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name InstanceId \
        --targets Key=tag:Env,Values=PROD \
        --target-locations Accounts=123456789012,987654321098,Regions=us-east-2,us-west-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name AWS-RestartEC2Instance ^
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name InstanceId ^
        --targets Key=tag:Env,Values=PROD ^
        --target-locations Accounts=123456789012,987654321098,Regions=us-east-2,us-west-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "tag:Env"
    $Targets.Values = "PROD"
    
    Start-SSMAutomationExecution `
        -DocumentName "AWS-RestartEC2Instance" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "InstanceId" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="123456789012","987654321098";
        "Regions"="us-east-2","us-west-1";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    Beispiel 2: In diesem Beispiel werden EC2 Instanzen in den 987654321098 Konten 123456789012 und, die sich in der eu-central-1 Region befinden, neu gestartet. Die Instanzen müssen Mitglieder der prod-instances AWS Ressourcengruppe sein.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name AWS-RestartEC2Instance \
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name InstanceId \
        --targets Key=ResourceGroup,Values=prod-instances \
        --target-locations Accounts=123456789012,987654321098,Regions=eu-central-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name AWS-RestartEC2Instance ^
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name InstanceId ^
        --targets Key=ResourceGroup,Values=prod-instances ^
        --target-locations Accounts=123456789012,987654321098,Regions=eu-central-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "ResourceGroup"
    $Targets.Values = "prod-instances"
    
    Start-SSMAutomationExecution `
        -DocumentName "AWS-RestartEC2Instance" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "InstanceId" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="123456789012","987654321098";
        "Regions"="eu-central-1";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    Beispiel 3: In diesem Beispiel werden EC2 Instanzen in der ou-1a2b3c-4d5e6c AWS Organisationseinheit (OU) neu gestartet. Die Instances befinden sich in den Regionen us-west-1 und us-west-2. Die Instanzen müssen Mitglieder der WebServices AWS Ressourcengruppe sein.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name AWS-RestartEC2Instance \
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name InstanceId \
        --targets Key=ResourceGroup,Values=WebServices \
        --target-locations Accounts=ou-1a2b3c-4d5e6c,Regions=us-west-1,us-west-2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name AWS-RestartEC2Instance ^
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name InstanceId ^
        --targets Key=ResourceGroup,Values=WebServices ^
        --target-locations Accounts=ou-1a2b3c-4d5e6c,Regions=us-west-1,us-west-2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "ResourceGroup"
    $Targets.Values = "WebServices"
    
    Start-SSMAutomationExecution `
        -DocumentName "AWS-RestartEC2Instance" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "InstanceId" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="ou-1a2b3c-4d5e6c";
        "Regions"="us-west-1";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    Die vom System zurückgegebenen Informationen ähneln den Folgenden.

    Linux & macOS
    {
        "AutomationExecutionId": "4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE"
    }
    Windows
    {
        "AutomationExecutionId": "4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE"
    }
    PowerShell
    4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE

  3. Führen Sie den folgenden Befehl aus, um Details zu der Automatisierung anzuzeigen. Ersetzen automation execution ID mit Ihren eigenen Informationen.

    Linux & macOS
    aws ssm describe-automation-executions \
        --filters Key=ExecutionId,Values=automation execution ID
    Windows
    aws ssm describe-automation-executions ^
        --filters Key=ExecutionId,Values=automation execution ID
    PowerShell
    Get-SSMAutomationExecutionList | `
        Where {$_.AutomationExecutionId -eq "automation execution ID"}

  4. Führen Sie den folgenden Befehl aus, um Details über den Automatisierungsprozess anzuzeigen.

    Linux & macOS
    aws ssm get-automation-execution \
        --automation-execution-id 4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE
    Windows
    aws ssm get-automation-execution ^
        --automation-execution-id 4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE
    PowerShell
    Get-SSMAutomationExecution `
        -AutomationExecutionId a4a3c0e9-7efd-462a-8594-01234EXAMPLE
    Anmerkung

    Sie können auch den Status der Automatisierung in der Konsole überwachen. Wählen Sie in der Liste Automatisierungs-Ausführung die Automatisierung, die Sie gerade ausgeführt haben, und wählen Sie dann die Registerkarte Execution steps (Ausführungsschritte). Diese Registerkarte zeigt Ihnen den Status der Automatisierungs-Aktionen.

Weitere Informationen

Zentralisiertes regions- und kontenübergreifendes Patching mit AWS Systems Manager Automation