Ejecución de una operación automatizada con la tecnología de automatización de Systems Manager - AWS Systems Manager
Ejecución de una automatización sencilla (consola)Ejecución de una automatización sencilla (línea de comandos)

Ejecución de una operación automatizada con la tecnología de automatización de Systems Manager

De forma predeterminada, cuando se ejecuta una automatización, se hace en el contexto del usuario que inicia la automatización. Esto significa que, por ejemplo, si el usuario tiene permisos de administrador, la automatización se ejecuta con permisos de administrador y tiene acceso pleno a los recursos que configura la automatización. Como práctica recomendada de seguridad, le recomendamos que ejecute la automatización con un rol de servicio de IAM, que también se conoce como un rol de asunción, configurado con la política administrada AmazonSSMAutomationRole. Es posible que tenga que agregar políticas de IAM adicionales al rol asumido para usar diferentes manuales de procedimientos. El uso de un rol de servicio de IAM para ejecutar la automatización se denomina administración delegada.

Cuando se utiliza un rol de servicio, se puede ejecutar la automatización en los recursos de AWS, pero el usuario que ejecutó la automatización tiene el acceso restringido a dichos recursos (o no puede acceder a ellos). Por ejemplo, puede configurar un rol de servicio y utilizarlo con Automation para reiniciar una o más instancias de Amazon Elastic Compute Cloud (Amazon EC2). Automation es una capacidad de AWS Systems Manager. La automatización reinicia las instancias, pero el rol de servicio no concede al usuario permiso para acceder a dichas instancias.

Puede especificar un rol de servicio en el tiempo de ejecución de una automatización, o bien, puede crear manuales de procedimientos personalizados y especificar el rol de servicio directamente en el manual. Si especifica un rol de servicio, ya sea en el tiempo de ejecución o en un manual de procedimientos, el servicio se ejecuta en el contexto del rol de servicio especificado. Si no especifica un rol de servicio, el sistema crea una sesión temporal en el contexto del usuario y ejecuta la automatización.

nota

Debe especificar un rol de servicio para las automatizaciones que espera que se ejecuten durante más de 12 horas. Si inicia una automatización cuya ejecución tarda mucho tiempo en el contexto de un usuario, la sesión temporal del usuario caduca después de 12 horas.

La administración delegada garantiza mayor control y seguridad de los recursos de AWS. También permite tener una mejor experiencia en las auditorías, ya que las acciones se realizan sobre los recursos a través de un rol de servicio centralizado en lugar de varias cuentas de IAM.

Antes de empezar

Antes de completar los siguientes procedimientos, cree el rol de servicio de IAM y configure una relación de confianza para Automation, una capacidad de AWS Systems Manager. Para obtener más información, consulte Tarea 1: crear un rol de servicio para Automation.

Los siguientes procedimientos describes cómo utilizar la consola de Systems Manager o su herramienta de línea de comandos preferida para ejecutar una automatización sencilla.

Ejecución de una automatización sencilla (consola)

El siguiente procedimiento describe cómo utilizar la consola de Systems Manager para ejecutar una automatización sencilla.

Para ejecutar una automatización sencilla

  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Automatización y, después, seleccione Ejecutar automatización.

  3. En la lista Documento de automatización, elija un manual de procedimientos. Elija una o más opciones en el panel Categorías de documentos para filtrar documentos SSM según su propósito. Para ver un manual de procedimientos que le pertenezca, seleccione la pestaña De mi propiedad. Para ver un manual de procedimientos que se haya compartido con su cuenta, elija la pestaña Compartido conmigo. Para ver todos los manuales de procedimientos, seleccione la pestaña Todos los documentos.

    nota

    Puede ver información acerca de un manual de procedimientos al seleccionar su nombre.

  4. En la sección Detalles del documento, verifique que Versión del documento esté establecido como la versión que desea ejecutar. El sistema incluye las siguientes opciones de versión:

    • Versión predeterminada en tiempo de ejecución: seleccione esta opción si el manual de procedimientos de automatización se actualiza de forma periódica y se asigna una nueva versión predeterminada.

    • Última versión en tiempo de ejecución: seleccione esta opción si el manual de procedimientos de automatización se actualiza de forma periódica y desea ejecutar la versión que se ha actualizado más recientemente.

    • 1 (Predeterminado): seleccione esta opción para ejecutar la primera versión del documento, que es la predeterminada.

  5. Elija Siguiente.

  6. En la sección Modo de ejecución, seleccione Ejecución sencilla.

  7. En la sección Parámetros de entrada, especifique las entradas necesarias: De forma opcional, puede elegir un rol de servicio de IAM de la lista AutomationAssumeRole.

  8. (Opcional) Elija una alarma de CloudWatch para aplicarla a la automatización de monitoreo. Para adjuntar una alarma de CloudWatch a su automatización, la entidad principal de IAM que ejecuta esta última debe tener permiso para la acción iam:createServiceLinkedRole. Para obtener más información sobre las alarmas de CloudWatch, consulte Uso de alarmas de Amazon CloudWatch. Tenga en cuenta que si la alarma se activa, la automatización se detiene. Si usa AWS CloudTrail, verá la llamada a la API en el registro de seguimiento.

  9. Elija Ejecutar.

La consola muestra el estado de la automatización. Si no se logra ejecutar la automatización, consulte Solución de problemas de Automatización de Systems Manager.

Ejecución de una automatización sencilla (línea de comandos)

El siguiente procedimiento describe cómo utilizar la AWS CLI (en Linux o Windows) o las AWS Tools for PowerShell para ejecutar una automatización sencilla.

Para ejecutar una automatización sencilla

  1. Si aún no lo ha hecho, instale y configure la AWS CLI o las AWS Tools for PowerShell.

    Para obtener información, consulte Instalación o actualización de la última versión de la AWS CLI e Instalación de AWS Tools for PowerShell.

  2. Ejecute el siguiente comando para iniciar una automatización sencilla. Reemplace cada example resource placeholder con su propia información.

    Linux & macOS
    aws ssm start-automation-execution \
    --document-name runbook name \
    --parameters runbook parameters
    Windows
    aws ssm start-automation-execution ^
    --document-name runbook name ^
    --parameters runbook parameters
    PowerShell
    Start-SSMAutomationExecution `
  -DocumentName runbook name `
  -Parameter runbook parameters

    A continuación, se muestra un ejemplo en el que se utiliza el manual de procedimientos AWS-RestartEC2Instance para reiniciar la instancia de EC2 especificada.

    Linux & macOS
    aws ssm start-automation-execution \
    --document-name "AWS-RestartEC2Instance" \
    --parameters "InstanceId=i-02573cafcfEXAMPLE"
    Windows
    aws ssm start-automation-execution ^
    --document-name "AWS-RestartEC2Instance" ^
    --parameters "InstanceId=i-02573cafcfEXAMPLE"
    PowerShell
    Start-SSMAutomationExecution `
  -DocumentName AWS-RestartEC2Instance `
  -Parameter @{"InstanceId"="i-02573cafcfEXAMPLE"}

    El sistema devuelve información similar a la siguiente.

    Linux & macOS
    {
    "AutomationExecutionId": "4105a4fc-f944-11e6-9d32-0123456789ab"
}
    Windows
    {
    "AutomationExecutionId": "4105a4fc-f944-11e6-9d32-0123456789ab"
}
    PowerShell
    4105a4fc-f944-11e6-9d32-0123456789ab

  3. Ejecute el siguiente comando para recuperar el estado de la automatización.

    Linux & macOS
    aws ssm describe-automation-executions \
    --filter "Key=ExecutionId,Values=4105a4fc-f944-11e6-9d32-0123456789ab"
    Windows
    aws ssm describe-automation-executions ^
    --filter "Key=ExecutionId,Values=4105a4fc-f944-11e6-9d32-0123456789ab"
    PowerShell
    Get-SSMAutomationExecutionList | `
  Where {$_.AutomationExecutionId -eq "4105a4fc-f944-11e6-9d32-0123456789ab"}

    El sistema devuelve información similar a la siguiente.

    Linux & macOS
    {
    "AutomationExecutionMetadataList": [
        {
            "AutomationExecutionStatus": "InProgress",
            "CurrentStepName": "stopInstances",
            "Outputs": {},
            "DocumentName": "AWS-RestartEC2Instance",
            "AutomationExecutionId": "4105a4fc-f944-11e6-9d32-0123456789ab",
            "DocumentVersion": "1",
            "ResolvedTargets": {
                "ParameterValues": [],
                "Truncated": false
            },
            "AutomationType": "Local",
            "Mode": "Auto",
            "ExecutionStartTime": 1564600648.159,
            "CurrentAction": "aws:changeInstanceState",
            "ExecutedBy": "arn:aws:sts::123456789012:assumed-role/Administrator/Admin",
            "LogFile": "",
            "Targets": []
        }
    ]
}
    Windows
    {
    "AutomationExecutionMetadataList": [
        {
            "AutomationExecutionStatus": "InProgress",
            "CurrentStepName": "stopInstances",
            "Outputs": {},
            "DocumentName": "AWS-RestartEC2Instance",
            "AutomationExecutionId": "4105a4fc-f944-11e6-9d32-0123456789ab",
            "DocumentVersion": "1",
            "ResolvedTargets": {
                "ParameterValues": [],
                "Truncated": false
            },
            "AutomationType": "Local",
            "Mode": "Auto",
            "ExecutionStartTime": 1564600648.159,
            "CurrentAction": "aws:changeInstanceState",
            "ExecutedBy": "arn:aws:sts::123456789012:assumed-role/Administrator/Admin",
            "LogFile": "",
            "Targets": []
        }
    ]
}
    PowerShell
    AutomationExecutionId       : 4105a4fc-f944-11e6-9d32-0123456789ab
AutomationExecutionStatus   : InProgress
AutomationType              : Local
CurrentAction               : aws:changeInstanceState
CurrentStepName             : startInstances
DocumentName                : AWS-RestartEC2Instance
DocumentVersion             : 1
ExecutedBy                  : arn:aws:sts::123456789012:assumed-role/Administrator/Admin
ExecutionEndTime            : 1/1/0001 12:00:00 AM
ExecutionStartTime          : 7/31/2019 7:17:28 PM
FailureMessage              : 
LogFile                     : 
MaxConcurrency              : 
MaxErrors                   : 
Mode                        : Auto
Outputs                     : {}
ParentAutomationExecutionId : 
ResolvedTargets             : Amazon.SimpleSystemsManagement.Model.ResolvedTargets
Target                      : 
TargetMaps                  : {}
TargetParameterName         : 
Targets                     : {}