Exécution d'automatisations dans plusieurs Régions AWS comptes - AWS Systems Manager
Configuration des autorisations du compte de gestion pour l'exécution d'automatisations entre plusieurs régions et plusieurs comptesExécuter une automatisation dans plusieurs comptes et régions (console)Exécuter Automation dans plusieurs comptes et régions (ligne de commande)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exécution d'automatisations dans plusieurs Régions AWS comptes

Vous pouvez exécuter AWS Systems Manager des automatisations sur plusieurs Régions AWS Comptes AWS et/ou unités AWS Organizations organisationnelles (OUs) à partir d'un compte central. L'automatisation est une capacité de AWS Systems Manager. Exécuter des automatisations dans plusieurs régions et comptes ou OUs réduire le temps nécessaire à l'administration de vos AWS ressources tout en renforçant la sécurité de votre environnement informatique.

Par exemple, vous pouvez effectuer les opérations suivantes à l'aide de runbooks Automation :

  • Implémentation des correctifs ainsi que des mises à jour de sécurité de manière centralisée.

  • Corrigez les écarts de conformité liés aux VPC configurations ou aux politiques relatives aux compartiments Amazon S3.

  • Gérez les ressources, telles que les EC2 instances Amazon Elastic Compute Cloud (AmazonEC2), à grande échelle.

Le graphique suivant illustre un exemple d'utilisateur exécutant le runbook AWS-RestartEC2Instances dans plusieurs régions et comptes à partir d'un compte central. L'automatisation localise les instances à l'aide des balises définies dans les régions et les comptes ciblés.

Note

Lorsque vous exécutez une automatisation sur plusieurs régions et comptes, vous ciblez les ressources à l'aide de balises ou du nom d'un groupe de AWS ressources. Le groupe de ressources doit exister dans chaque compte et chaque région cibles. Le nom du groupe de ressources doit être le même dans chaque compte et dans chaque région ciblés. L'automatisation ne peut pas s'exécuter sur les ressources pour lesquelles aucune balise n'a été spécifiée ou qui ne sont pas incluses dans le groupe de ressources défini.

Illustration présentant l'exécution de Systems Manager Automation dans plusieurs régions et comptes.
Choisissez un compte central pour Automation

Si vous souhaitez exécuter des automatisationsOUs, le compte central doit être autorisé à répertorier tous les comptes duOUs. Cette exécution n'est possible qu'à partir d'un compte administrateur délégué ou du compte de gestion de l'organisation. Nous vous recommandons de suivre les AWS Organizations meilleures pratiques et d'utiliser un compte d'administrateur délégué. Pour plus d'informations sur les AWS Organizations meilleures pratiques, consultez la section Meilleures pratiques relatives au compte de gestion dans le Guide de AWS Organizations l'utilisateur. Pour créer un compte d'administrateur délégué pour Systems Manager, vous pouvez utiliser la register-delegated-administrator commande avec le AWS CLI comme indiqué dans l'exemple suivant.

aws organizations register-delegated-administrator \
    --account-id delegated admin account ID \
    --service-principal ssm.amazonaws.com

Si vous souhaitez exécuter des automatisations sur plusieurs comptes non gérés par AWS Organizations, nous vous recommandons de créer un compte dédié à la gestion de l'automatisation. L'exécution de toutes les automatisations entre comptes à partir d'un compte dédié simplifie la gestion des IAM autorisations, les efforts de dépannage et crée une couche de séparation entre les opérations et l'administration. Cette approche est également recommandée si vous utilisez des comptes individuels AWS Organizations, mais que vous souhaitez les cibler uniquementOUs.

Le fonctionnement de l'exécution des automatisations

Exécutez des automatisations sur plusieurs régions et comptes ou OUs procédez comme suit :

  1. Vérifiez que toutes les ressources sur lesquelles vous souhaitez exécuter l'automatisation, dans toutes les régions et tous les comptesOUs, utilisent des balises identiques. Si ce n'est pas le cas, vous pouvez les ajouter à un groupe de AWS ressources et cibler ce groupe. Pour plus d'informations, consultez Que sont les groupes de ressources? dans le AWS Resource Groups le guide de l'utilisateur et des balises.

  2. Connectez-vous au compte que vous souhaitez configurer en tant que compte central de l'automatisation.

  3. Suivez la Configuration des autorisations du compte de gestion pour l'exécution d'automatisations entre plusieurs régions et plusieurs comptes procédure décrite dans cette rubrique pour créer les IAM rôles suivants :

    • AWS-SystemsManager-AutomationAdministrationRole- Ce rôle donne à l'utilisateur l'autorisation d'exécuter des automatisations sur plusieurs comptes etOUs.

    • AWS-SystemsManager-AutomationExecutionRole - Ce rôle donne à l'utilisateur l'autorisation d'exécuter des automatisations dans plusieurs comptes et unités organisationnelles.

  4. Choisissez le runbook, les régions et les comptes ou l'OUsendroit où vous souhaitez exécuter l'automatisation.

    Note

    Les automatisations ne s'exécutent pas de manière récursive. OUs Assurez-vous que l'unité d'organisation cible contient les comptes souhaités. Si vous sélectionnez un runbook personnalisé, il doit être partagé avec tous les comptes cibles. Pour obtenir des informations sur le partage des runbooks, consultez Partage de documents SSM. Pour obtenir des informations sur l'utilisation de runbooks partagés, consultez Utilisation de documents SSM partagés.

  5. Exécutez l'automatisation.

    Note

    Lorsque vous exécutez des automatisations sur plusieurs régions, comptes ou OUs que l'automatisation que vous exécutez à partir du compte principal lance des automatisations secondaires dans chacun des comptes cibles. L'automatisation dans le compte principal comprendra des étapes aws:executeAutomation pour chacun des comptes cibles.

  6. Utilisez les DescribeAutomationExecutionsAPIopérations GetAutomationExecutionDescribeAutomationStepExecutions, et depuis la AWS Systems Manager console ou le AWS CLI pour suivre la progression de l'automatisation. La sortie des étapes de l'automatisation dans votre compte principal sera l'AutomationExecutionId des automations enfants. Pour afficher la sortie des automatisations enfants créées dans vos comptes cibles, spécifiez bien le compte, la région et AutomationExecutionId correspondants, dans votre demande.

Configuration des autorisations du compte de gestion pour l'exécution d'automatisations entre plusieurs régions et plusieurs comptes

Utilisez la procédure suivante pour créer les IAM rôles requis pour l'automatisation multi-régions et multi-comptes de Systems Manager Automation en utilisant. AWS CloudFormation Cette procédure décrit la création du rôle AWS-SystemsManager-AutomationAdministrationRole. Créez uniquement ce rôle dans le compte central d'automatisation. Cette procédure décrit également la création du rôle AWS-SystemsManager-AutomationExecutionRole. Vous devez créer ce rôle dans chaque compte que vous souhaitez cibler pour exécuter les automatisations dans plusieurs régions et plusieurs comptes. Nous vous recommandons AWS CloudFormation StackSets de l'utiliser pour créer le AWS-SystemsManager-AutomationExecutionRole rôle dans les comptes que vous souhaitez cibler afin d'exécuter des automatisations multirégionales et multicomptes.

Pour créer le rôle d'IAMadministration requis pour les automatisations multirégionales et multicomptes en utilisant AWS CloudFormation

  1. Téléchargez et compressez le AWS-SystemsManager-AutomationAdministrationRole.zip. Ou, si vos comptes sont gérés par AWS Organizations AWS-SystemsManager-AutomationAdministrationRole (org).zip. Ce fichier contient le fichier AWS-SystemsManager-AutomationAdministrationRole.yaml AWS CloudFormation modèle.

  2. Ouvrez la AWS CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation.

  3. Sélectionnez Créer une pile.

  4. Dans la section Specify template (Spécifier un modèle), sélectionnez Upload a template (Charger un modèle).

  5. Choisissez Choisir un fichier, puis choisissez le fichier AWS-SystemsManager-AutomationAdministrationRole.yaml AWS CloudFormation modèle.

  6. Sélectionnez Suivant.

  7. Dans la section Spécifier les détails, entrez un nom dans le champ Nom de la pile.

  8. Choisissez Suivant.

  9. Sur la page Configure stack options (Configurer les options de pile), saisissez des valeurs pour les options que vous souhaitez utiliser. Choisissez Suivant.

  10. Sur la page de révision, faites défiler la page vers le bas et choisissez l'option Je reconnais que cela AWS CloudFormation pourrait créer IAM des ressources avec des noms personnalisés.

  11. Sélectionnez Créer la pile.

AWS CloudFormation affiche le PROGRESS statut CREATE_IN_ pendant environ trois minutes. Le statut passe à CREATE_ COMPLETE.

Répétez la procédure suivante dans chaque compte que vous souhaitez cibler pour exécuter les automatisations multi-régions et multi-comptes.

Pour créer le rôle IAM d'automatisation requis pour les automatisations multirégionales et multicomptes en utilisant AWS CloudFormation

  1. Téléchargez AWS-SystemsManager-AutomationExecutionRole.zip. Ou, si vos comptes sont gérés par AWS Organizations AWS-SystemsManager-AutomationExecutionRole (org).zip. Ce fichier contient le fichier AWS-SystemsManager-AutomationExecutionRole.yaml AWS CloudFormation modèle.

  2. Ouvrez la AWS CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation.

  3. Sélectionnez Créer une pile.

  4. Dans la section Specify template (Spécifier un modèle), sélectionnez Upload a template (Charger un modèle).

  5. Choisissez Choisir un fichier, puis choisissez le fichier AWS-SystemsManager-AutomationExecutionRole.yaml AWS CloudFormation modèle.

  6. Sélectionnez Suivant.

  7. Dans la section Spécifier les détails, entrez un nom dans le champ Nom de la pile.

  8. Dans la section Paramètres, dans le AdminAccountIdchamp, entrez l'ID du compte Automation Central.

  9. Si vous configurez ce rôle pour un AWS Organizations environnement, la section contient un autre champ appelé OrganizationID. Entrez l'identifiant de votre AWS organisation.

  10. Choisissez Suivant.

  11. Sur la page Configure stack options (Configurer les options de pile), saisissez des valeurs pour les options que vous souhaitez utiliser. Choisissez Suivant.

  12. Sur la page de révision, faites défiler la page vers le bas et choisissez l'option Je reconnais que cela AWS CloudFormation pourrait créer IAM des ressources avec des noms personnalisés.

  13. Sélectionnez Créer la pile.

AWS CloudFormation affiche le PROGRESS statut CREATE_IN_ pendant environ trois minutes. Le statut passe à CREATE_ COMPLETE.

Exécuter une automatisation dans plusieurs comptes et régions (console)

La procédure suivante décrit comment utiliser la console Systems Manager pour exécuter une automatisation dans plusieurs régions et comptes à partir du compte de gestion Automation.

Avant de commencer

Avant d'exécuter la procédure suivante, notez les informations suivantes :

  • L'utilisateur ou le rôle que vous utilisez pour exécuter Automation dans plusieurs régions ou plusieurs comptes doit disposer de l'autorisation iam:PassRole pour le rôle AWS-SystemsManager-AutomationAdministrationRole.

  • Compte AWS IDsou à l'OUsendroit où vous souhaitez exécuter l'automatisation.

  • Régions prises en charge par Systems Manager où vous souhaitez exécuter l'automatisation.

  • La clé de balise et la valeur de balise ou le nom du groupe de ressources, où vous souhaitez exécuter l'automatisation.

Pour exécuter une automatisation dans plusieurs comptes et régions

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Automation (Automatisation), puis Execute automation (Exécuter l'automatisation).

  3. Dans la liste Automation document (Document Automation), sélectionnez un runbook. Choisissez une ou plusieurs options dans le volet Catégories de documents pour filtrer SSM les documents en fonction de leur objectif. Pour afficher un runbook vous appartenant, sélectionnez l'onglet Owned by me (M'appartenant). Pour afficher un runbook partagé avec votre compte, sélectionnez l'onglet Shared with me (Partagé avec moi). Pour afficher tous les runbooks, sélectionnez l'onglet All documents (Tous les documents).

    Note

    Vous pouvez consulter les informations sur un runbook en sélectionnant son nom.

  4. Dans la section Document details (Détails du document), vérifiez que l'option Document version (Version de document) correspond à la version que vous souhaitez exécuter. Le système inclut les options de version suivantes :

    • Version par défaut lors de l’exécution : sélectionnez cette option si le runbook d’Automatisation est mis à jour régulièrement et qu’une nouvelle version par défaut est attribuée.

    • Dernière version lors de l’exécution : sélectionnez cette option si le runbook d’Automatisation est mis à jour régulièrement et que vous souhaitez exécuter la dernière version mise à jour.

    • 1 (Par défaut) : sélectionnez cette option pour exécuter la première version du document, qui est la version par défaut.

  5. Choisissez Suivant.

  6. Sur la page Execute automation document (Exécuter le document d'Automation) , sélectionnez Multi-account and Region (Compte et région multiples).

  7. Dans la section Comptes et régions cibles, utilisez le champ Comptes et organisation (OUs) pour spécifier les différentes unités Comptes AWS ou unités AWS organisationnelles (OUs) dans lesquelles vous souhaitez exécuter l'automatisation. Séparez plusieurs comptes ou OUs utilisez une virgule.

  8. Utilisez la liste Régions AWS pour choisir une ou plusieurs régions dans lesquelles vous souhaitez exécuter l'automatisation.

  9. Utilisez les options Multi-Region and account rate control (Plusieurs régions et contrôle du débit du compte) pour restreindre l'exécution d'automatisations à un nombre limité de comptes qui s'exécutent dans un nombre limité de régions. Ces options ne limitent pas le nombre de ressources AWS qui peuvent exécuter les automatisations.

    1. Dans la section Location (account-Region pair) concurrency (Simultanéité de l'emplacement [paire compte/région]), sélectionnez une option pour restreindre le nombre d'automatisations qui peuvent s'exécuter dans plusieurs comptes et régions en même temps. Par exemple, si vous choisissez d'exécuter une automatisation en cinq (5) Comptes AWS, qui se trouvent dans quatre (4) Régions AWS, Systems Manager exécute les automatisations dans un total de 20 paires compte-région. Vous pouvez utiliser cette option pour spécifier un nombre absolu, tel que 2, de manière à ce que l'automatisation s'exécute uniquement dans 2 paires compte-région en même temps. Vous pouvez également spécifier un pourcentage de paires compte-région qui peuvent s'exécuter en même temps. Par exemple, avec 20 paires compte-région, si vous spécifiez 20 %, l'automatisation s'exécute simultanément dans un maximum de 5 paires compte-région.

      • Sélectionnez targets (cibles) pour saisir un nombre absolu de paires compte-région pouvant exécuter l'automatisation simultanément.

      • Sélectionnez percentage (pourcentage) pour saisir un pourcentage du nombre total de paires compte-région pouvant exécuter l'automatisation simultanément.

    2. Dans la section Error threshold (Seuil d'erreurs), sélectionnez une option :

      • Sélectionnez errors (erreurs) pour indiquer un nombre absolu d'erreurs autorisées avant qu'Automation ne cesse d'envoyer l'automatisation à d'autres ressources.

      • Sélectionnez percentage (pourcentage) pour indiquer un pourcentage d'erreurs autorisées avant qu'Automation ne cesse d'envoyer l'automatisation à d'autres ressources.

  10. Dans la section Cibles, choisissez la manière dont vous souhaitez cibler les AWS ressources sur lesquelles vous souhaitez exécuter l'automatisation. Ces options sont obligatoires.

    1. Utilisez la liste Parameter (Paramètre) pour choisir un paramètre. Les éléments de la liste Parameter (Paramètre) sont déterminés par les paramètres du runbook Automation que vous avez sélectionnés au début de cette procédure. En choisissant un paramètre, vous définissez le type de ressource sur lequel le flux de travail d'automatisation s'exécutera.

    2. Utilisez la liste Targets (Cibles) pour choisir la façon dont vous souhaitez cibler les ressources.

      1. Si vous choisissez de cibler des ressources à l'aide de valeurs de paramètre, saisissez la valeur de paramètre du paramètre que vous avez choisi, dans la section Input parameters (Paramètres d'entrée).

      2. Si vous avez choisi de cibler les ressources à l'aide de AWS Resource Groups, choisissez le nom du groupe dans la liste des groupes de ressources.

      3. Si vous choisissez de cibler des ressources à l'aide de balises, entrez la clé de balise et (éventuellement) la valeur de balise dans les champs fournis. Choisissez Ajouter.

      4. Si vous souhaitez exécuter un runbook d'automatisation sur toutes les instances de la version actuelle Compte AWS Région AWS, sélectionnez Toutes les instances.

  11. Dans la section Input parameters (Paramètres d'entrée), spécifiez les entrées obligatoires. Choisissez le rôle de AWS-SystemsManager-AutomationAdministrationRole IAM service dans la AutomationAssumeRoleliste.

    Note

    Vous pourriez ne pas avoir besoin de choisir certaines options dans la section Paramètres d'entrée. Cela est dû au fait que vous avez ciblé des ressources dans plusieurs régions et comptes à l'aide de balises ou d'un groupe de ressources. Par exemple, si vous avez choisi le AWS-RestartEC2Instance runbook, vous n'avez pas besoin de spécifier ou de choisir une instance IDs dans la section Paramètres d'entrée. L'automatisation localise les instances à redémarrer en utilisant les balises que vous avez spécifiées.

  12. (Facultatif) Choisissez une CloudWatch alarme à appliquer à votre automatisation à des fins de surveillance. Pour associer une CloudWatch alarme à votre automatisation, le IAM principal qui lance l'automatisation doit être autorisé à effectuer l'iam:createServiceLinkedRoleaction. Pour plus d'informations sur les CloudWatch alarmes, consultez la section Utilisation des CloudWatch alarmes Amazon. Veuillez noter que l'activation de votre alarme entraîne l'annulation de l'automatisation et l'exécution des étapes OnCancel définies. Si vous l'utilisez AWS CloudTrail, vous verrez l'APIappel apparaître sur votre parcours.

  13. Utilisez les options de la section Contrôle du débit pour limiter le nombre de AWS ressources pouvant exécuter l'automatisation au sein de chaque paire compte-région.

    Dans la section Simultanéité, sélectionnez une option :

    • Sélectionnez targets (cibles) pour entrer un nombre absolu de cibles pouvant exécuter le flux de travail Automation simultanément.

    • Sélectionnez percentage (pourcentage) pour indiquer un pourcentage de l'ensemble de cibles pouvant exécuter le flux de travail Automation simultanément.

  14. Dans la section Error threshold (Seuil d'erreurs), sélectionnez une option :

    • Sélectionnez erreurs pour indiquer un nombre absolu d'erreurs autorisées avant qu'Automation ne cesse d'envoyer le flux de travail à d'autres ressources.

    • Sélectionnez pourcentage pour indiquer un pourcentage d'erreurs autorisées avant qu'Automation ne cesse d'envoyer le flux de travail à d'autres ressources.

  15. Sélectionnez Execute (Exécuter).

Exécuter Automation dans plusieurs comptes et régions (ligne de commande)

La procédure suivante décrit comment utiliser AWS CLI (sous Linux ou Windows) ou exécuter une automatisation dans plusieurs régions et comptes AWS Tools for PowerShell à partir du compte de gestion Automation.

Avant de commencer

Avant d'exécuter la procédure suivante, notez les informations suivantes :

  • Compte AWS IDsou à l'OUsendroit où vous souhaitez exécuter l'automatisation.

  • Régions prises en charge par Systems Manager où vous souhaitez exécuter l'automatisation.

  • La clé de balise et la valeur de balise ou le nom du groupe de ressources, où vous souhaitez exécuter l'automatisation.

Pour exécuter une automatisation dans plusieurs comptes et régions

  1. Installez et configurez le AWS CLI ou le AWS Tools for PowerShell, si ce n'est pas déjà fait.

    Pour plus d'informations, consultez la section Installation ou mise à jour de la version la plus récente de l' AWS CLI et Installation d' AWS Tools for PowerShell.

  2. Utilisez le format suivant pour créer une commande permettant d'exécuter une automatisation dans plusieurs régions et comptes. Remplacez chacun example resource placeholder avec vos propres informations.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name runbook name \
        --parameters AutomationAssumeRole=arn:aws:iam::management account ID:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name parameter name \
        --targets Key=tag key,Values=value \
        --target-locations Accounts=account ID,account ID 2,Regions=Region,Region 2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name runbook name ^
        --parameters AutomationAssumeRole=arn:aws:iam::management account ID:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name parameter name ^
        --targets Key=tag key,Values=value ^
        --target-locations Accounts=account ID,account ID 2,Regions=Region,Region 2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "tag key"
    $Targets.Values = "value"
    
    Start-SSMAutomationExecution `
        -DocumentName "runbook name" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::management account ID:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "parameter name" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="account ID","account ID 2";
        "Regions"="Region","Region 2";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    Voici quelques exemples.

    Exemple 1 : Cet exemple redémarre EC2 les instances des 987654321098 comptes 123456789012 et, qui se trouvent dans les us-west-1 régions us-east-2 et. Les instances doivent être balisées avec la valeur de paire de clés de balise Env-PROD.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name AWS-RestartEC2Instance \
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name InstanceId \
        --targets Key=tag:Env,Values=PROD \
        --target-locations Accounts=123456789012,987654321098,Regions=us-east-2,us-west-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name AWS-RestartEC2Instance ^
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name InstanceId ^
        --targets Key=tag:Env,Values=PROD ^
        --target-locations Accounts=123456789012,987654321098,Regions=us-east-2,us-west-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "tag:Env"
    $Targets.Values = "PROD"
    
    Start-SSMAutomationExecution `
        -DocumentName "AWS-RestartEC2Instance" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "InstanceId" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="123456789012","987654321098";
        "Regions"="us-east-2","us-west-1";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    Exemple 2 : Cet exemple redémarre les EC2 instances 987654321098 des comptes 123456789012 et situés dans la eu-central-1 région. Les instances doivent être membres du groupe de prod-instances AWS ressources.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name AWS-RestartEC2Instance \
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name InstanceId \
        --targets Key=ResourceGroup,Values=prod-instances \
        --target-locations Accounts=123456789012,987654321098,Regions=eu-central-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name AWS-RestartEC2Instance ^
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name InstanceId ^
        --targets Key=ResourceGroup,Values=prod-instances ^
        --target-locations Accounts=123456789012,987654321098,Regions=eu-central-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "ResourceGroup"
    $Targets.Values = "prod-instances"
    
    Start-SSMAutomationExecution `
        -DocumentName "AWS-RestartEC2Instance" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "InstanceId" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="123456789012","987654321098";
        "Regions"="eu-central-1";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    Exemple 3 : Cet exemple redémarre des EC2 instances dans l'unité ou-1a2b3c-4d5e6c AWS organisationnelle (UO). Les instances sont situées dans les régions us-west-1 et us-west-2. Les instances doivent être membres du groupe de WebServices AWS ressources.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name AWS-RestartEC2Instance \
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name InstanceId \
        --targets Key=ResourceGroup,Values=WebServices \
        --target-locations Accounts=ou-1a2b3c-4d5e6c,Regions=us-west-1,us-west-2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name AWS-RestartEC2Instance ^
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name InstanceId ^
        --targets Key=ResourceGroup,Values=WebServices ^
        --target-locations Accounts=ou-1a2b3c-4d5e6c,Regions=us-west-1,us-west-2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "ResourceGroup"
    $Targets.Values = "WebServices"
    
    Start-SSMAutomationExecution `
        -DocumentName "AWS-RestartEC2Instance" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "InstanceId" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="ou-1a2b3c-4d5e6c";
        "Regions"="us-west-1";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    Le système renvoie des informations similaires à ce qui suit :

    Linux & macOS
    {
        "AutomationExecutionId": "4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE"
    }
    Windows
    {
        "AutomationExecutionId": "4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE"
    }
    PowerShell
    4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE

  3. Exécutez la commande suivante pour afficher des informations détaillées relatives à l'automatisation. Remplacez automation execution ID avec vos propres informations.

    Linux & macOS
    aws ssm describe-automation-executions \
        --filters Key=ExecutionId,Values=automation execution ID
    Windows
    aws ssm describe-automation-executions ^
        --filters Key=ExecutionId,Values=automation execution ID
    PowerShell
    Get-SSMAutomationExecutionList | `
        Where {$_.AutomationExecutionId -eq "automation execution ID"}

  4. Exécutez la commande suivante pour afficher des informations détaillées relatives à l'automatisation.

    Linux & macOS
    aws ssm get-automation-execution \
        --automation-execution-id 4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE
    Windows
    aws ssm get-automation-execution ^
        --automation-execution-id 4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE
    PowerShell
    Get-SSMAutomationExecution `
        -AutomationExecutionId a4a3c0e9-7efd-462a-8594-01234EXAMPLE
    Note

    Vous pouvez aussi surveiller le statut de l'automatisation dans la console. Dans la liste Automation executions (Exécutions Automation), sélectionnez l'exécution que vous venez juste d'exécuter, puis sélectionnez l'onglet Execution Steps (Étapes d'exécution). Cet onglet affiche le statut des actions de l'automatisation.

Plus d'informations

Correctif centralisé à plusieurs comptes et plusieurs régions avec AWS Systems Manager Automation