Créez des rôles de service pour l'automatisation en utilisant AWS CloudFormation - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez des rôles de service pour l'automatisation en utilisant AWS CloudFormation

Vous pouvez créer un rôle de service pour Automation, une fonctionnalité de AWS Systems Manager, à partir d'un AWS CloudFormation modèle. Après avoir créé le rôle de service, vous pouvez spécifier le rôle de service dans les runbooks à l'aide du paramètre AutomationAssumeRole.

Création du rôle de service via AWS CloudFormation

Utilisez la procédure suivante pour créer le rôle requis AWS Identity and Access Management (IAM) pour Systems Manager Automation en utilisant AWS CloudFormation.

Pour créer le rôle IAM requis
  1. Téléchargez et décompressez le fichier AWS-SystemsManager-AutomationServiceRole.zip. Ce fichier inclut le fichier AWS-SystemsManager-AutomationServiceRole.yaml AWS CloudFormation modèle.

  2. Ouvrez la AWS CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation.

  3. Sélectionnez Create Stack (Créer une pile).

  4. Dans la section Spécifier un modèle, sélectionnez Charger un modèle de fichier.

  5. Choisissez Parcourir, puis choisissez le fichier AWS-SystemsManager-AutomationServiceRole.yaml AWS CloudFormation modèle.

  6. Sélectionnez Suivant.

  7. Dans la section Spécifier les détails, entrez un nom dans le champ Nom de la pile.

  8. Sur la page Configurer les options de pile, vous n'avez pas besoin d'effectuer de sélections. Sélectionnez Suivant.

  9. Sur la page de révision, faites défiler la page vers le bas et choisissez l'option Je reconnais que cela AWS CloudFormation pourrait créer IAM des ressources.

  10. Sélectionnez Create (Créer).

CloudFormation affiche le PROGRESS statut CREATE_IN_ pendant environ trois minutes. Le statut passe à CREATE_ une COMPLETE fois que la pile est créée et que vos rôles sont prêts à être utilisés.

Important

Si vous exécutez un flux de travail automatisé qui appelle d'autres services à l'aide d'un rôle de service AWS Identity and Access Management (IAM), sachez que le rôle de service doit être configuré avec l'autorisation d'appeler ces services. Cette exigence s'applique à tous les runbooks Automation d' AWS (runbooks AWS-*) tels que les runbooks AWS-ConfigureS3BucketLogging, AWS-CreateDynamoDBBackup et AWS-RestartEC2Instance, par exemple. Cette exigence s'applique également à tous les runbooks d'automatisation personnalisés que vous créez et qui invoquent d'autres services Services AWS en utilisant des actions qui appellent d'autres services. Par exemple, si vous utilisez les actions aws:executeAwsApi, aws:createStack ou aws:copyImage, vous devez configurer le rôle de service avec l'autorisation d'appeler ces services. Vous pouvez accorder des autorisations à d'autres personnes en Services AWS ajoutant IAM une politique intégrée au rôle. Pour de plus amples informations, veuillez consulter (Facultatif) Ajoutez une politique d'automatisation en ligne ou une politique gérée par le client pour invoquer d'autres Services AWS.

Copier les informations de rôle pour Automation

Utilisez la procédure suivante pour copier les informations relatives au rôle de service d'automatisation depuis la AWS CloudFormation console. Vous devez spécifier ces rôles lorsque vous utilisez un runbook.

Note

Vous n'avez pas besoin de copier les informations du rôle en utilisant cette procédure si vous exécutez les runbooks AWS-UpdateLinuxAmi ou AWS-UpdateWindowsAmi. Ces runbooks possèdent déjà les rôles requis spécifiés comme valeurs par défaut. Les rôles spécifiés dans ces runbooks utilisent des politiques IAM gérées.

Pour copier les noms de rôle
  1. Ouvrez la AWS CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation.

  2. Sélectionnez le Nom de la pile d'automatisation que vous avez créé lors de la procédure précédente.

  3. Sélectionnez l'onglet Ressources.

  4. Choisissez le lien Physical ID pour AutomationServiceRole. La IAM console s'ouvre et affiche un résumé du rôle du service d'automatisation.

  5. Copiez le nom de la ressource Amazon (ARN) à côté de Rôle ARN. Cela ARN ressemble à ce qui suit : arn:aws:iam::12345678:role/AutomationServiceRole

  6. Collez-le ARN dans un fichier texte pour l'utiliser ultérieurement.

La configuration du rôle de service pour Automation est terminée. Vous pouvez désormais utiliser le rôle de service Automation ARN dans vos runbooks.