Vérification de l'accès utilisateur aux runbooks Configuration d'un accès à un rôle de service (rôle de responsable) pour les automatisations

Configuration d'Automation

Pour configurer Automation, une fonctionnalité de AWS Systems Manager, vous devez vérifier l'accès des utilisateurs au service Automation et configurer les rôles en fonction de la situation afin que le service puisse effectuer des actions sur vos ressources. Nous vous recommandons également d'activer le mode de simultanéité adaptative dans vos préférences d'Automation. La simultanéité adaptative ajuste automatiquement votre quota d'automatisation pour répondre à vos besoins. Pour plus d’informations, consultez Permettre à Automation de s'adapter à vos besoins de simultanéité.

Pour garantir un accès approprié à AWS Systems Manager Automation, passez en revue les exigences relatives aux rôles d'utilisateur et de service suivantes.

Vérification de l'accès utilisateur aux runbooks

Vérifiez que vous avez l'autorisation d'utiliser des runbooks. Si votre utilisateur, groupe ou rôle dispose des autorisations d'administrateur, vous avez accès à Systems Manager Automation. Si vous ne disposez pas des autorisations d'administrateur, un administrateur doit vous les donner en affectant la politique gérée AmazonSSMFullAccess ou une politique dotée d'autorisations de même type à votre utilisateur, groupe ou rôle.

Important

La politique IAM AmazonSSMFullAccess octroie des autorisations pour les actions Systems Manager. Toutefois, certains runbooks nécessitent des autorisations pour d'autres services, tels que le runbook AWS-ReleaseElasticIP, qui nécessite des autorisations IAM pour ec2:ReleaseAddress. Par conséquent, vous devez passer en revue les actions effectuées dans un runbook pour vous assurer que votre utilisateur, groupe ou rôle dispose des autorisations nécessaires pour effectuer les actions incluses dans le runbook.

Configuration d'un accès à un rôle de service (rôle de responsable) pour les automatisations

Les automatisations peuvent être lancées dans le contexte d'un rôle de service (ou rôle de responsable). Cela permet au service d'effectuer des actions en votre nom. Si vous ne spécifiez pas de rôle de responsable, Automation utilise le contexte de l'utilisateur qui a appelé l'automatisation.

Cependant, les situations suivantes nécessitent que vous spécifiiez un rôle du service pour Automation :

Lorsque vous souhaitez restreindre les autorisations d'un utilisateur sur une ressource tout en souhaitant que l'utilisateur puisse exécuter une automatisation nécessitant des autorisations supérieurs. Dans ce scénario, vous pouvez créer un rôle de service avec des autorisations supérieures et autoriser l'utilisateur à exécuter l'automatisation.
Lorsque vous créez une association Systems Manager State Managerqui exécute un runbook.
Lorsque vous prévoyez que la durée d'exécution de certaines opérations dépasse 12 heures.
Lorsque vous exécutez un runbook n'appartenant pas à Amazon qui utilise l'aws:executeScriptaction pour appeler une opération d' AWS API ou pour agir sur une AWS ressource. Pour plus d'informations, consultez Autorisations pour l'utilisation de runbooks.

Si vous avez besoin de créer un rôle de service pour Automation, vous pouvez utiliser l'une des méthodes suivantes.

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Automatisation

Créez des rôles de service pour l'automatisation en utilisant AWS CloudFormation