AWSSupport-ResetLinuxUserPassword - AWS Systems Manager Riferimento al runbook di automazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSSupport-ResetLinuxUserPassword

Descrizione

Il AWSSupport-ResetLinuxUserPassword runbook consente di reimpostare la password di un utente del sistema operativo locale (OS). Questo runbook è particolarmente utile per gli utenti che devono accedere alle proprie istanze Amazon Elastic Compute Cloud EC2 (Amazon) utilizzando la console seriale. Il runbook crea un'EC2istanza Amazon temporanea nel tuo ruolo Account AWS e un ruolo AWS Identity and Access Management (IAM) con le autorizzazioni per recuperare un valore AWS Secrets Manager segreto contenente la password.

Il runbook arresta l'EC2istanza Amazon di destinazione, scollega il volume root Amazon Elastic Block Store EBS (Amazon) e lo collega all'istanza Amazon temporanea. EC2 Utilizzando Run Command, viene eseguito uno script sull'istanza temporanea per impostare la password dell'utente del sistema operativo specificato. Quindi, il EBS volume Amazon root viene ricollegato all'istanza di destinazione. Il runbook offre anche la possibilità di creare un'istantanea del volume root all'inizio dell'automazione.

Prima di iniziare

Crea un segreto di Secrets Manager con il valore della password che desideri assegnare all'utente del tuo sistema operativo. Il valore deve essere in testo semplice. Per ulteriori informazioni, consulta Creazione di un segreto AWS Secrets Manager nella Guida per l'utente di AWS Secrets Manager .

Considerazioni

  • Ti consigliamo di eseguire il backup dell'istanza prima di utilizzare questo runbook. Considerate di impostare il valore del CreateSnapshot parametro come. Yes

  • La modifica della password dell'utente locale richiede che il runbook interrompa l'istanza. Quando un'istanza viene arrestata, tutti i dati archiviati nella memoria o nei volumi dell'Instance Store vengono persi. Inoltre, tutti IPv4 gli indirizzi pubblici assegnati automaticamente vengono rilasciati. Per ulteriori informazioni su cosa succede quando interrompi un'istanza, consulta Arresta e avvia l'istanza nella Amazon EC2 User Guide.

  • Se i EBS volumi Amazon collegati all'EC2istanza Amazon di destinazione sono crittografati con una chiave gestita dal cliente AWS Key Management Service (AWS KMS), assicurati che la AWS KMS chiave non lo sia, deleted disabled altrimenti l'istanza non si avvierà.

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

Linux

Parametri

  • AutomationAssumeRole

    Tipo: stringa

    Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

  • InstanceId

    Tipo: stringa

    Descrizione: (Obbligatorio) L'ID dell'istanza Amazon EC2 Linux che contiene la password utente del sistema operativo che desideri reimpostare.

  • LinuxUserName

    Tipo: stringa

    Impostazione predefinita: ec2-user

    Descrizione: (Facoltativo) L'account utente del sistema operativo di cui desideri reimpostare la password.

  • SecretArn

    Tipo: stringa

    Descrizione: (Obbligatorio) Il segreto ARN del Secrets Manager contenente la nuova password.

  • SecurityGroupId

    Tipo: stringa

    Descrizione: (Facoltativo) L'ID del gruppo di sicurezza da collegare all'EC2istanza Amazon temporanea. Se non fornisci un valore per questo parametro, viene utilizzato il gruppo di sicurezza Amazon Virtual Private Cloud (AmazonVPC) predefinito.

  • SubnetId

    Tipo: stringa

    Descrizione: (Facoltativo) L'ID della sottorete in cui desideri avviare l'istanza EC2 temporanea di Amazon. Per impostazione predefinita, l'automazione sceglie la stessa sottorete dell'istanza di destinazione. Se si sceglie di fornire una sottorete diversa, questa deve trovarsi nella stessa zona di disponibilità dell'istanza di destinazione e avere accesso agli endpoint Systems Manager.

  • CreateSnapshot

    Tipo: stringa

    Valori validi: Sì | No

    Impostazione predefinita: Sì

    Descrizione: (Facoltativo) Determina se viene creata un'istantanea del volume root dell'EC2istanza Amazon di destinazione prima dell'esecuzione dell'automazione.

  • StopConsent

    Tipo: stringa

    Valori validi: Sì | No

    Predefinito: No

    Descrizione: inserisci Yes per confermare che l'EC2istanza Amazon di destinazione verrà interrotta durante questa automazione. Quando l'EC2istanza Amazon viene interrotta, tutti i dati archiviati nella memoria o nei volumi dell'instance store vengono persi e l'IPv4indirizzo pubblico automatico viene rilasciato. Per ulteriori informazioni, consulta Stop and start your istance nella Amazon EC2 User Guide.

IAMAutorizzazioni richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

  • ssm:DescribeInstanceInformation

  • ssm:ListTagsForResource

  • ssm:SendCommand

  • ec2:AttachVolume

  • ec2:CreateSnapshot

  • ec2:CreateSnapshots

  • ec2:CreateVolume

  • ec2:DescribeImages

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeSnapshotAttribute

  • ec2:DescribeSnapshots

  • ec2:DescribeSnapshotTierStatus

  • ec2:DescribeVolumes

  • ec2:DescribeVolumeStatus

  • ec2:DetachVolume

  • ec2:RunInstances

  • ec2:StartInstances

  • ec2:StopInstances

  • ec2:TerminateInstances

  • cloudformation:CreateStack

  • cloudformation:DeleteStack

  • cloudformation:DescribeStackResource

  • cloudformation:DescribeStacks

  • cloudformation:ListStacks

  • logs:CreateLogDelivery

  • logs:CreateLogGroup

  • logs:DeleteLogDelivery

  • logs:DeleteLogGroup

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:PutLogEvents

Fasi del documento

  1. aws:branch— Succursali a seconda che tu abbia fornito il consenso a interrompere l'EC2istanza Amazon di destinazione.

  2. aws:assertAwsResourceProperty— Assicura che lo stato dell'EC2istanza Amazon sia in uno stopped stato running or. In caso contrario, l'automazione termina.

  3. aws:executeAwsApi— Ottiene le proprietà dell'EC2istanza Amazon.

  4. aws:executeAwsApi— Ottiene le proprietà del volume principale.

  5. aws:branch— Suddivide l'automazione a seconda che sia stato fornito un ID di sottorete per l'EC2istanza Amazon temporanea.

  6. aws:assertAwsResourceProperty— Assicura che la sottorete specificata nel SubnetId parametro si trovi nella stessa zona di disponibilità dell'EC2istanza Amazon di destinazione.

  7. aws:assertAwsResourceProperty— Assicura che il volume root dell'EC2istanza Amazon di destinazione sia un EBS volume Amazon.

  8. aws:assertAwsResourceProperty— Assicura che l'architettura dell'EC2istanza Amazon sia arm64 ox86_64.

  9. aws:assertAwsResourceProperty— Assicura che il comportamento di chiusura dell'EC2istanza Amazon sia corretto stop e non corretto. terminate

  10. aws:branch— Assicura che l'EC2istanza Amazon non sia un'istanza Spot. Altrimenti, l'automazione termina.

  11. aws:executeScript— Assicura che l'EC2istanza Amazon non faccia parte di un gruppo di auto scaling. Se l'istanza fa parte di un gruppo di auto scaling, l'automazione conferma che l'EC2istanza Amazon è in uno stato del Standby ciclo di vita.

  12. aws:createStack— Crea un'EC2istanza Amazon temporanea che viene utilizzata per reimpostare la password per l'utente del sistema operativo specificato.

  13. aws:waitForAwsResourceProperty— Attende l'esecuzione dell'EC2istanza Amazon temporanea appena lanciata.

  14. aws:executeAwsApi— Ottiene l'ID dell'EC2istanza Amazon temporanea.

  15. aws:waitForAwsResourceProperty— Attende che l'EC2istanza temporanea di Amazon venga segnalata come gestita da Systems Manager.

  16. aws:changeInstanceState— Arresta l'EC2istanza Amazon di destinazione.

  17. aws:changeInstanceState— Forza l'interruzione dell'EC2istanza Amazon di destinazione nel caso in cui rimanga bloccata in uno stato di arresto.

  18. aws:branch— Suddivide l'automazione a seconda che sia stata richiesta un'istantanea del volume root dell'EC2istanza Amazon di destinazione.

  19. aws:executeAwsApi— Crea un'istantanea del EBS volume Amazon root dell'EC2istanza Amazon di destinazione.

  20. aws:waitForAwsResourceProperty— Attende che lo snapshot sia in uno stato. completed

  21. aws:executeAwsApi— Scollega il volume EBS root di Amazon dall'EC2istanza Amazon di destinazione.

  22. aws:waitForAwsResourceProperty— Attende che il volume EBS root di Amazon venga scollegato dall'istanza Amazon EC2 di destinazione.

  23. aws:executeAwsApi— Collega il EBS volume Amazon root all'EC2istanza Amazon temporanea.

  24. aws:waitForAwsResourceProperty— Attende che il volume EBS root di Amazon venga collegato all'EC2istanza Amazon temporanea.

  25. aws:runCommand— Reimposta la password dell'utente di destinazione eseguendo uno script di shell utilizzando Run Command sull'EC2istanza temporanea di Amazon.

  26. aws:executeAwsApi— Scollega il volume EBS root di Amazon dall'EC2istanza Amazon temporanea.

  27. aws:waitForAwsResourceProperty— Attende che il volume EBS root di Amazon venga scollegato dall'istanza Amazon EC2 temporanea.

  28. aws:executeAwsApi— Scollega il volume EBS root di Amazon dall'EC2istanza Amazon temporanea dopo un errore.

  29. aws:waitForAwsResourceProperty— Attende che il volume EBS root di Amazon venga scollegato dall'EC2istanza Amazon temporanea dopo un errore.

  30. aws:branch— Suddivide l'automazione a seconda che sia stata richiesta un'istantanea del volume root per determinare il percorso di ripristino in caso di errore.

  31. aws:executeAwsApi— Ricollega il EBS volume Amazon root all'istanza Amazon EC2 di destinazione.

  32. aws:waitForAwsResourceProperty— Attende che il volume EBS root di Amazon venga collegato all'EC2istanza Amazon.

  33. aws:executeAwsApi— Crea un nuovo EBS volume Amazon dallo snapshot del volume root dell'EC2istanza Amazon di destinazione.

  34. aws:waitForAwsResourceProperty— Attende che il nuovo EBS volume Amazon sia in uno available stato.

  35. aws:executeAwsApi— Collega il nuovo EBS volume Amazon all'istanza di destinazione come volume root.

  36. aws:waitForAwsResourceProperty— Attende che il EBS volume Amazon si trovi in uno attached stato.

  37. aws:executeAwsApi— Descrive gli eventi AWS CloudFormation dello stack se i runbook non riescono a creare o aggiornare lo stack. AWS CloudFormation

  38. aws:branch— Suddivide l'automazione in base allo stato precedente dell'EC2istanza Amazon. Se lo stato erarunning, l'istanza viene avviata. Se era in uno stopped stato, l'automazione continua.

  39. aws:changeInstanceState— Avvia l'EC2istanza Amazon, se necessario.

  40. aws:waitForAwsResourceProperty— Attende che lo AWS CloudFormation stack assuma lo stato di terminale prima di eliminarlo.

  41. aws:executeAwsApi— Elimina lo AWS CloudFormation stack, inclusa l'istanza Amazon EC2 temporanea.