Buat peran layanan untuk Otomasi menggunakan konsol - AWS Systems Manager
Tugas 1: Buat peran layanan untuk otomatisasiTugas 2: Lampirkan PassRole kebijakan iam: ke peran Otomasi Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat peran layanan untuk Otomasi menggunakan konsol

Jika Anda perlu membuat peran layanan untuk Otomasi, kemampuan AWS Systems Manager, selesaikan tugas-tugas berikut. Untuk informasi lebih lanjut tentang kapan peran layanan diperlukan untuk otomatisasi, lihat Menyiapkan Otomatisasi.

Tugas 1: Buat peran layanan untuk otomatisasi

Gunakan prosedur berikut untuk membuat peran layanan (atau peran asumsi) untuk Otomatisasi Systems Manager.

catatan

Anda juga dapat menggunakan peran ini di runbook, seperti AWS-CreateManagedLinuxInstance runbook. Menggunakan peran ini, atau Amazon Resource Name (ARN) dari peran AWS Identity and Access Management (IAM), dalam runbook memungkinkan Otomasi untuk melakukan tindakan di lingkungan Anda, seperti meluncurkan instance baru dan melakukan tindakan atas nama Anda.

Untuk membuat IAM peran dan memungkinkan Otomasi untuk mengasumsikannya

  1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Peran, lalu pilih Buat peran.

  3. Di bawah Pilih jenis entitas tepercaya, pilih AWS layanan.

  4. Di bagian Pilih kasus penggunaan, pilih Systems Manager, lalu pilih Berikutnya: Izin.

  5. Pada halaman Kebijakan izin terlampir, cari kebijakan Peran, pilih kebijakan mazonSSMAutomationPeran, lalu pilih Berikutnya: Tinjau.

  6. Pada halaman Ulasan, masukkan nama di kotak Nama peran, dan kemudian masukkan deskripsi.

  7. Pilih Buat peran. Sistem mengembalikan Anda ke halaman Peran.

  8. Pada halaman Peran, pilih peran yang baru Anda buat untuk membuka halaman Ringkasan. Perhatikan Nama Peran dan Peran ARN. Anda akan menentukan peran ARN saat Anda melampirkan PassRole kebijakan iam: ke IAM akun Anda di prosedur berikutnya. Anda juga dapat menentukan nama peran dan runbook ARN dalam.

catatan

AmazonSSMAutomationRoleKebijakan menetapkan izin peran Otomasi ke subset AWS Lambda fungsi dalam akun Anda. Fungsi ini dimulai dengan "Otomatisasi". Jika Anda berencana untuk menggunakan Otomatisasi dengan fungsi Lambda, Lambda ARN harus menggunakan format berikut:

"arn:aws:lambda:*:*:function:Automation*"

Jika Anda memiliki fungsi Lambda yang ARNs tidak menggunakan format ini, Anda juga harus melampirkan kebijakan Lambda tambahan ke peran otomatisasi Anda, seperti kebijakan. AWSLambdaRole Kebijakan atau peran tambahan harus menyediakan akses yang lebih luas ke fungsi Lambda dalam Akun AWS.

Setelah membuat peran layanan Anda, kami sarankan untuk mengedit kebijakan kepercayaan untuk membantu mencegah masalah wakil lintas layanan yang membingungkan. Masalah confused deputy adalah masalah keamanan saat entitas yang tidak memiliki izin untuk melakukan suatu tindakan dapat memaksa entitas yang lebih berhak untuk melakukan tindakan tersebut. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (layanan yang dipanggil) memanggil layanan lain (layanan yang dipanggil). Layanan pemanggilan dapat dimanipulasi menggunakan izinnya untuk bertindak pada sumber daya pelanggan lain dengan cara yang seharusnya tidak dilakukannya kecuali bila memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS sediakan alat yang membantu Anda melindungi data Anda untuk semua layanan dengan prinsip layanan yang telah diberikan akses ke sumber daya di akun Anda.

Sebaiknya gunakan kunci konteks kondisi aws:SourceAccountglobal aws:SourceArndan global dalam kebijakan sumber daya untuk membatasi izin yang diberikan Automation layanan lain ke sumber daya. Jika aws:SourceArn nilai tidak berisi ID akun, seperti bucket Amazon S3ARN, Anda harus menggunakan kedua kunci konteks kondisi global untuk membatasi izin. Jika Anda menggunakan kunci konteks kondisi global dan nilai aws:SourceArn berisi ID akun, nilai aws:SourceAccount dan akun dalam nilai aws:SourceArn harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama. Gunakan aws:SourceArn jika Anda hanya ingin satu sumber daya dikaitkan dengan akses lintas layanan. Gunakan aws:SourceAccount jika Anda ingin mengizinkan sumber daya apa pun di akun tersebut dikaitkan dengan penggunaan lintas layanan. Nilai aws:SourceArn harus menjadi ARN untuk eksekusi otomatisasi. Jika Anda tidak mengetahui sumber daya yang lengkap ARN atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi konteks aws:SourceArn global dengan wildcard (*) untuk bagian yang tidak diketahui dari file. ARN Misalnya, arn:aws:ssm:*:123456789012:automation-execution/*.

Contoh berikut menunjukkan bagaimana Anda dapat menggunakan aws:SourceArn dan kunci konteks kondisi aws:SourceAccount global untuk Otomasi untuk mencegah masalah wakil yang membingungkan.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "ssm.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:ssm:*:123456789012:automation-execution/*"
        }
      }
    }
  ]
}
Untuk memodifikasi kebijakan kepercayaan peran

  1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Peran.

  3. Dalam daftar peran di akun Anda, pilih nama peran layanan Otomasi Anda.

  4. Pilih tab Hubungan kepercayaan, dan kemudian pilihUbah hubungan kepercayaan.

  5. Edit kebijakan kepercayaan menggunakan aws:SourceArn dan kunci konteks kondisi aws:SourceAccount global untuk Otomasi untuk mencegah masalah wakil yang membingungkan.

  6. Pilih Perbarui Kebijakan Kepercayaan untuk menyimpan perubahan Anda.

(Opsional) Tambahkan kebijakan sebaris Otomasi atau kebijakan terkelola pelanggan untuk memanggil lainnya Layanan AWS

Jika Anda menjalankan otomatisasi yang memanggil orang lain Layanan AWS dengan menggunakan peran IAM layanan, peran layanan harus dikonfigurasi dengan izin untuk memanggil layanan tersebut. Persyaratan ini berlaku untuk semua runbook AWS Otomasi (AWS-*runbook) sepertiAWS-ConfigureS3BucketLogging,AWS-CreateDynamoDBBackup, dan AWS-RestartEC2Instance runbook, untuk beberapa nama. Persyaratan ini juga berlaku untuk setiap runbook kustom yang Anda buat yang memanggil orang lain Layanan AWS dengan menggunakan tindakan yang memanggil layanan lain. Misalnya, jika Anda menggunakan aws:executeAwsApi, aws:CreateStack, atau aws:copyImage tindakan,untuk beberapa nama, konfigurasikan peran layanan dengan izin untuk menjalankan layanan tersebut. Anda dapat memberikan izin kepada orang lain Layanan AWS dengan menambahkan kebijakan IAM sebaris atau kebijakan yang dikelola pelanggan ke peran tersebut.

Untuk menyematkan kebijakan sebaris untuk peran layanan (konsol) IAM

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Peran.

  3. Dalam daftar peran, pilih nama peran yang ingin Anda edit.

  4. Pilih tab Izin.

  5. Di menu tarik-turun Tambah izin, pilih Lampirkan kebijakan atau Buat kebijakan sebaris.

  6. Jika Anda memilih Lampirkan kebijakan, pilih kotak centang di samping kebijakan yang ingin Anda tambahkan, lalu pilih Tambahkan izin.

  7. Jika Anda memilih Buat kebijakan sebaris, pilih JSONtab.

  8. Masukkan dokumen JSON Kebijakan untuk yang ingin Layanan AWS Anda panggil. Berikut adalah dua contoh dokumen JSON kebijakan.

    Amazon S3 PutObject dan Contoh GetObject

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}

    Amazon EC2 CreateSnapshot dan DescribeSnapShots Contoh

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ec2:CreateSnapshot",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":"ec2:DescribeSnapshots",
         "Resource":"*"
      }
   ]
}

    Untuk detail tentang bahasa IAM kebijakan, lihat Referensi IAM JSON Kebijakan di Panduan IAM Pengguna.

  9. Setelah selesai, pilih Tinjau kebijakan. Validator Kebijakan melaporkan kesalahan sintaksis.

  10. Pada halaman Kebijakan ulasan, masukkan Nama untuk kebijakan yang Anda buat. Ulas Ringkasan kebijakan untuk melihat izin yang diberikan oleh kebijakan Anda. Kemudian pilih Buat kebijakan untuk menyimpan pekerjaan Anda.

  11. Setelah Anda membuat kebijakan yang selaras, ia akan secara otomatis tertanam di pengguna atau peran Anda.

Tugas 2: Lampirkan PassRole kebijakan iam: ke peran Otomasi Anda

Gunakan prosedur berikut untuk melampirkan iam:PassRole kebijakan untuk peran layanan otomatisasi Anda. Hal ini memungkinkan layanan Otomatisasi untuk lulus peran layanan lain atau kemampuan Systems Manager ketika menjalankan otomatisasi.

Untuk melampirkan PassRole kebijakan iam: ke peran Otomasi Anda

  1. Di halaman Ringkasan untuk peran yang baru saja Anda buat, pilih tab Izin.

  2. Pilih Tambah kebijakan inline.

  3. Di halaman Buat kebijakan, pilih tab Visual editor.

  4. Pilih Layanan, lalu pilih IAM.

  5. Pilih Pilih tindakan.

  6. Di kotak teks tindakan FilterPassRole, ketik, lalu pilih PassRoleopsi.

  7. Pilih Sumber daya. Verifikasi bahwa Spesifik dipilih, lalu pilih Tambah ARN.

  8. Di bidang Tentukan ARN peran, tempel peran Otomasi ARN yang Anda salin di akhir Tugas 1. Sistem mengisi Akun dan Nama peran dengan bidang jalur.

    catatan

    Jika Anda ingin peran layanan Otomasi melampirkan peran profil IAM EC2 instance ke instance, Anda harus menambahkan peran profil IAM instance. ARN Hal ini memungkinkan peran layanan Otomasi untuk meneruskan peran profil IAM instance ke EC2 instance target.

  9. Pilih Tambahkan.

  10. Pilih Tinjau kebijakan.

  11. Pada halaman Tinjau kebijakan, masukkan nama dan deskripsi kebijakan, dan pilih Buat Kebijakan.