Créez des rôles de service pour l'automatisation en utilisant AWS CloudFormation - AWS Systems Manager
Création du rôle de service via AWS CloudFormationCopier les informations de rôle pour Automation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez des rôles de service pour l'automatisation en utilisant AWS CloudFormation

Vous pouvez créer un rôle de service pour Automation, un outil dans AWS Systems Manager, à partir d'un AWS CloudFormation modèle. Après avoir créé le rôle de service, vous pouvez spécifier le rôle de service dans les runbooks à l'aide du paramètre AutomationAssumeRole.

Création du rôle de service via AWS CloudFormation

Utilisez la procédure suivante pour créer le rôle AWS Identity and Access Management (IAM) requis pour Systems Manager Automation en utilisant AWS CloudFormation.

Pour créer le rôle IAM requis

  1. Téléchargez et décompressez le fichier AWS-SystemsManager-AutomationServiceRole.zip. Ce fichier inclut le fichier AWS-SystemsManager-AutomationServiceRole.yaml AWS CloudFormation modèle.

  2. Ouvrez la AWS CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation.

  3. Sélectionnez Create Stack (Créer une pile).

  4. Dans la section Spécifier un modèle, sélectionnez Charger un modèle de fichier.

  5. Choisissez Parcourir, puis choisissez le fichier AWS-SystemsManager-AutomationServiceRole.yaml AWS CloudFormation modèle.

  6. Sélectionnez Suivant.

  7. Dans la section Spécifier les détails, entrez un nom dans le champ Nom de la pile.

  8. Sur la page Configurer les options de pile, vous n'avez pas besoin d'effectuer de sélections. Sélectionnez Suivant.

  9. Sur la page de révision, faites défiler la page vers le bas et choisissez l'option Je reconnais que cela AWS CloudFormation pourrait créer des ressources IAM.

  10. Sélectionnez Create (Créer).

CloudFormation affiche l'état de CREATE_IN_PROGRESS pendant environ trois minutes. Le statut devient CREATE_COMPLETE une fois que la pile a été créée et que vos rôles sont prêts à être utilisés.

Important

Si vous exécutez un flux de travail d'automatisation qui appelle d'autres services à l'aide d'un rôle de service AWS Identity and Access Management (IAM), le rôle de service doit être configuré avec l'autorisation d'appeler ces services. Cette exigence s'applique à tous les runbooks Automation d' AWS (runbooks AWS-*) tels que les runbooks AWS-ConfigureS3BucketLogging, AWS-CreateDynamoDBBackup et AWS-RestartEC2Instance, par exemple. Cette exigence s'applique également à tous les runbooks d'automatisation personnalisés que vous créez et qui invoquent d'autres services Services AWS en utilisant des actions qui appellent d'autres services. Par exemple, si vous utilisez les actions aws:executeAwsApi, aws:createStack ou aws:copyImage, vous devez configurer le rôle de service avec l'autorisation d'appeler ces services. Vous pouvez accorder des autorisations à d'autres personnes en Services AWS ajoutant une politique IAM intégrée au rôle. Pour de plus amples informations, veuillez consulter (Facultatif) Ajoutez une politique d'automatisation en ligne ou une politique gérée par le client pour invoquer d'autres Services AWS.

Copier les informations de rôle pour Automation

Utilisez la procédure suivante pour copier les informations relatives au rôle de service d'automatisation depuis la AWS CloudFormation console. Vous devez spécifier ces rôles lorsque vous utilisez un runbook.

Note

Vous n'avez pas besoin de copier les informations du rôle en utilisant cette procédure si vous exécutez les runbooks AWS-UpdateLinuxAmi ou AWS-UpdateWindowsAmi. Ces runbooks possèdent déjà les rôles requis spécifiés comme valeurs par défaut. Ces rôles spécifiés dans ces runbooks utilisant des politiques gérées IAM.

Pour copier les noms de rôle

  1. Ouvrez la AWS CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation.

  2. Sélectionnez le Nom de la pile d'automatisation que vous avez créé lors de la procédure précédente.

  3. Sélectionnez l'onglet Ressources.

  4. Choisissez le lien Physical ID pour AutomationServiceRole. La console IAM ouvre un récapitulatif du rôle de service Automation.

  5. Copiez l'Amazon Resource Name (ARN) en regard de l'ARN de rôle. L'ARN est similaire à ce qui suit : arn:aws:iam::12345678:role/AutomationServiceRole

  6. Collez l'ARN dans un fichier texte à utiliser ultérieurement.

La configuration du rôle de service pour Automation est terminée. Vous pouvez désormais utiliser l'ARN du rôle de service Automation dans vos runbooks.