Configuración de roles y permisos para Change Manager - AWS Systems Manager
Tarea 1: Creación de una política de rol de asunción para Change ManagerTarea 2: Creación de un rol de asunción para Change ManagerTarea 3: Adición de la política iam:PassRole a otros rolesTarea 4: Adición de políticas insertadas a un rol de asunción para invocar a otros Servicios de AWSTarea 5: Configuración del acceso de usuario a Change Manager

Configuración de roles y permisos para Change Manager

De manera predeterminada, Change Manager no tiene permiso para realizar acciones en los recursos. Debe conceder acceso mediante un rol de servicio de AWS Identity and Access Management (IAM), o rol de asunción. Este rol permite que Change Manager pueda ejecutar de forma segura los flujos de trabajo de manuales de procedimientos especificados en una solicitud de cambio aprobada en su nombre. El rol concede a AWS Security Token Service (AWS STS) la confianza AssumeRole para Change Manager.

Proporcionando estos permisos a un rol para que actúe en nombre de los usuarios de una organización, ya no es necesario conceder ese conjunto de permisos como tal a los usuarios. Las acciones permitidas por los permisos están limitadas únicamente a las operaciones aprobadas.

Cuando los usuarios de la cuenta u organización crean una solicitud de cambio, pueden seleccionar este rol de asunción para realizar las operaciones de cambio.

Puede crear un nuevo rol de asunción para Change Manager, o bien actualizar un rol existente con los permisos necesarios.

Si necesita crear un rol de servicio para Change Manager, complete las siguientes tareas.

Tarea 1: Creación de una política de rol de asunción para Change Manager

Utilice el siguiente procedimiento para crear la política que va a adjuntar al rol de asunción de Change Manager.

Para crear una política de rol de asunción para Change Manager

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Policies y, a continuación, seleccione Create Policy.

  3. En la página Create policy (Crear política), elija la pestaña JSON y reemplace el contenido predeterminado con el siguiente, que modificará para sus propias operaciones de Change Manager en los siguientes pasos.

    nota

    Si va a crear una política para utilizarla con una sola Cuenta de AWS, no una organización con varias cuentas y Regiones de AWS, puede omitir el primer bloque de instrucciones. No se requiere el permiso iam:PassRole en el caso de una sola cuenta que utiliza Change Manager.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::delegated-admin-account-id:role/AWS-SystemsManager-job-functionAdministrationRole",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ssm.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeDocument",
                "ssm:GetDocument",
                "ssm:StartChangeRequestExecution"
            ],
            "Resource": [
                "arn:aws:ssm:region:account-id:automation-definition/template-name:$DEFAULT",
                "arn:aws:ssm:region::document/template-name"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:ListOpsItemEvents",
                "ssm:GetOpsItem",
                "ssm:ListDocuments",
                "ssm:DescribeOpsItems"
            ],
            "Resource": "*"
        }
    ]
}

  4. Actualice el valor Resource de la acción iam:PassRole para incluir los ARN de todas las funciones laborales definidas para la organización a las que desee conceder permisos para iniciar flujos de trabajo de manuales de procedimientos.

  5. Reemplace los marcadores de posición region, account-id, template-name, delegated-admin-account-id y job-function con valores para sus operaciones de Change Manager.

  6. Modifique la lista de la segunda instrucción Resource para incluir todas las plantillas de cambio a las que desee conceder permisos. Como alternativa, puede especificar "Resource": "*" para conceder permisos a todas las plantillas de cambio de la organización.

  7. Elija Siguiente: etiquetas.

  8. (Opcional) Agregue uno o varios pares de valor etiqueta-clave para organizar, realizar un seguimiento o controlar el acceso a esta política.

  9. Elija Siguiente: Revisar.

  10. En la página Review policy (Revisar política), ingrese un nombre en el cuadro Name (Nombre), como MyChangeManagerAssumeRole, y luego ingrese una descripción opcional.

  11. Elija Create policy (Crear política) y vaya a Tarea 2: Creación de un rol de asunción para Change Manager.

Tarea 2: Creación de un rol de asunción para Change Manager

Siga este procedimiento para crear un rol de asunción de Change Manager, un tipo de rol de servicio, para Change Manager.

Para crear un rol de asunción para Change Manager

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Roles y luego seleccione Crear rol.

  3. En Select trusted entity (Seleccionar entidad de confianza), realice las siguientes elecciones:

    1. En Trusted entity type (Tipo de entidad de confianza), elija AWS service (Servicio de )

    2. En Use cases for other Servicios de AWS, (Casos de uso de otros ), elija Systems Manager

    3. Elija Systems Manager, como aparece en la siguiente imagen.

      Captura de pantalla que muestra la opción de Systems Manager seleccionada como caso de uso.

  4. Elija Siguiente.

  5. En la página Attached permissions policy (Política de permisos adjuntos), busque la política de rol de asunción que haya creado en Tarea 1: Creación de una política de rol de asunción para Change Manager, como, por ejemplo, MyChangeManagerAssumeRole.

  6. Seleccione la casilla de verificación situada junto al nombre de la política de rol de asunción, y luego elija Next: Tags (Siguiente: Etiquetas).

  7. En Role name (Nombre del rol), ingrese un nombre para el nuevo perfil de instancias, por ejemplo, MyChangeManagerAssumeRole.

  8. (Opcional) En Description (Descripción), actualice la descripción de este rol de instancia.

  9. (Opcional) Agregue uno o varios pares de valor etiqueta-clave para organizar, realizar un seguimiento o controlar el acceso a este rol.

  10. Elija Siguiente: Revisar.

  11. (Opcional) En Tags (Etiquetas), agregue uno o varios pares de valores etiqueta-clave para organizar, seguir o controlar el acceso a este rol, y luego elija Create role (Crear rol). El sistema le devuelve a la página Roles.

  12. Elija Create role. El sistema le devuelve a la página Roles.

  13. En la página Roles, elija el rol que acaba de crear para abrir la página Summary (Resumen).

Tarea 3: Adición de la política iam:PassRole a otros roles

Utilice el siguiente procedimiento para adjuntar la política iam:PassRole a un perfil de instancias de IAM o rol de servicio de IAM. (El servicio Systems Manager utiliza perfiles de instancia de IAM para comunicarse con instancias de EC2. En el caso de los nodos administrados que no son de EC2 en un entorno híbrido y multinube, se utiliza en su lugar un rol de servicio de IAM).

Al adjuntar la política iam:PassRole, el servicio Change Manager puede transferir permisos de rol de asunción a otros servicios o herramientas de Systems Manager cuando se ejecutan flujos de trabajo de manuales de procedimientos.

Para adjuntar la política iam:PassRole a un perfil de instancia o rol de servicio de IAM

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Seleccione Roles en el panel de navegación.

  3. Busque el rol de asunción Change Manager que haya creado, como, por ejemplo, MyChangeManagerAssumeRole, y elija su nombre.

  4. En la página Summary (Resumen) del rol de asunción, elija la pestaña Permissions (Permisos).

  5. Elija Add permissions, Create inline policy (Agregar permisos, Crear política insertada).

  6. En la página Create policy (Crear política), elija la pestaña Visual editor (Editor visual).

  7. Elija Service (Servicio) y, a continuación, IAM.

  8. En el cuadro de texto Filter actions (Filtrar acciones), ingrese PassRole, y luego elija la opción PassRole.

  9. Expanda Resources (Recursos). Compruebe que esté seleccionado Specific (Específicos) y elija Add ARN (Añadir ARN).

  10. En el campo Specify ARN for role (Especificar ARN para el rol), ingrese el ARN del rol de perfil de instancias de IAM o del rol de servicio de IAM al que desee transferir permisos de rol de asunción. El sistema rellena los campos Account (Cuenta) y Role name with path (Nombre del rol con ruta).

  11. Elija Add (Agregar).

  12. Elija Review policy (Revisar política).

  13. En Name (Nombre), ingrese un nombre para identificar esta política, y luego elija Create policy (Crear política).

Más información

Tarea 4: Adición de políticas insertadas a un rol de asunción para invocar a otros Servicios de AWS

Si una solicitud de cambio invoca otros Servicios de AWS mediante el rol de asunción Change Manager, este debe tener permiso para invocar esos servicios. Este requisito se aplica a todos los manuales de procedimientos de AWS Automation (manuales de procedimientos AWS-*) que se puedan utilizar en una solicitud de cambio, como los manuales de procedimientos AWS-ConfigureS3BucketLogging, AWS-CreateDynamoDBBackup y AWS-RestartEC2Instance. Este requisito también se aplica a cualquier manual de procedimientos personalizado que cree para invocar otros Servicios de AWS mediante acciones que llaman a otros servicios. Por ejemplo, si utiliza las acciones aws:executeAwsApi, aws:CreateStack o aws:copyImage, debe configurar el rol de servicio con el permiso necesario para invocar esos servicios. Puede habilitar permisos para otros Servicios de AWS si agrega una política insertada de IAM al rol.

Para agregar una política insertada a un rol de asunción para invocar otros Servicios de AWS (consola de IAM)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Seleccione Roles en el panel de navegación.

  3. En la lista, elija el nombre del rol de asunción que desee actualizar, como, por ejemplo, MyChangeManagerAssumeRole.

  4. Elija la pestaña Permisos.

  5. Elija Add permissions, Create inline policy (Agregar permisos, Crear política insertada).

  6. Seleccione la pestaña JSON.

  7. Ingrese un documento de política JSON para los Servicios de AWS que desee invocar. A continuación se muestran dos documentos de política JSON a modo de ejemplo.

    Ejemplo de PutObject y GetObject de Amazon S3

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}

    Ejemplo de CreateSnapshot y DescribeSnapShots de Amazon EC2

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ec2:CreateSnapshot",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":"ec2:DescribeSnapshots",
         "Resource":"*"
      }
   ]
}

    Para obtener información sobre el lenguaje de las políticas de IAM, consulte Referencia de políticas JSON de IAM en la Guía del usuario de IAM.

  8. Cuando haya terminado, elija Review policy (Revisar política). El validador de políticas notifica los errores de sintaxis.

  9. En Name (Nombre), ingrese un nombre para identificar la política que está creando. Revise el Summary (Resumen) de la política para ver los permisos concedidos por su política. A continuación, elija Create policy (Crear política) para guardar su trabajo.

  10. Una vez que cree una política insertada, se integra de manera automática a su rol.

Tarea 5: Configuración del acceso de usuario a Change Manager

Si el usuario, grupo o rol tiene asignados permisos de administrador, entonces tiene acceso a Change Manager. Si no tiene permisos de administrador, un administrador debe asignar la política administrada AmazonSSMFullAccess o una política que proporcione permisos comparables a su usuario, grupo o rol.

Utilice el siguiente procedimiento a fin de configurar un usuario para utilizar Change Manager. El usuario que elija tendrá permiso para configurar y ejecutar Change Manager.

Según la aplicación de identidad que utilice en su organización, puede seleccionar cualquiera de las tres opciones disponibles para configurar el acceso del usuario. Al configurar el acceso del usuario, asigne o agregue lo siguiente:

  1. Asigne la política AmazonSSMFullAccess o una política comparable que proporcione permiso para acceder a Systems Manager.

  2. Asigne la política iam:PassRole.

  3. Agregue el ARN del rol de asunción de Change Manager que copió al final de Tarea 2: Creación de un rol de asunción para Change Manager.

Para dar acceso, agregue permisos a los usuarios, grupos o roles:

Ha terminado de configurar los roles requeridos para Change Manager. A partir de ahora, puede utilizar el ARN del rol de asunción Change Manager en las operaciones de Change Manager.