Crea ruoli di servizio per l'automazione tramite la console - AWS Systems Manager
Processo 1: creazione di un ruolo di servizio per il servizio di automazioneAttività 2: allega la PassRole policy iam: al tuo ruolo di Automation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea ruoli di servizio per l'automazione tramite la console

Se devi creare un ruolo di servizio per Automation, uno strumento in AWS Systems Manager, completa le seguenti attività. Per ulteriori informazioni su quando un ruolo di servizio è obbligatorio per l'automazione, consulta Configurazione del servizio di automazione.

Processo 1: creazione di un ruolo di servizio per il servizio di automazione

Utilizza la procedura seguente per creare un ruolo di servizio (o ruolo presunto) per il servizio di automazione di Systems Manager.

Nota

Puoi anche utilizzare questo ruolo nei runbook, ad esempio il runbook AWS-CreateManagedLinuxInstance. L'utilizzo di questo ruolo, o dell'Amazon Resource Name (ARN) di un ruolo AWS Identity and Access Management (IAM), nei runbook consente all'automazione di eseguire azioni nel tuo ambiente, come avviare nuove istanze ed eseguire azioni per tuo conto.

Per creare un ruolo IAM e consentire al servizio di automazione di usarlo

  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, scegliere Roles (Ruoli) e quindi Create role (Crea ruolo).

  3. In Select type of trusted entity (Seleziona tipo di entità attendibile), scegliere AWS service (Servizio).

  4. Nella sezione Choose a use case (Scegli un caso d'uso), scegliere Systems Manager, e quindi scegliere Next: Permissions (Successivo: autorizzazioni).

  5. Nella pagina Politica di autorizzazione allegata, cerca la policy di Amazon SSMAutomation Role, selezionala, quindi scegli Avanti: revisione.

  6. Nella pagina Review (Rivedi) inserire un nome nella casella Role name (Nome ruolo), quindi inserire una descrizione.

  7. Scegliere Create role (Crea ruolo). Il sistema visualizza di nuovo la pagina Roles (Ruoli).

  8. Nella pagina Roles (Ruoli) scegliere il ruolo appena creato per aprire la pagina Summary (Riepilogo). Annotare i valori per Role Name (Nome ruolo) e Role ARN (ARN ruolo). Specificherai il ruolo ARN quando alleghi la PassRole policy iam: al tuo account IAM nella procedura successiva. È inoltre possibile specificare il nome di ruolo e l'ARN nei runbook.

Nota

La AmazonSSMAutomationRole policy assegna l'autorizzazione al ruolo di automazione a un sottoinsieme di AWS Lambda funzioni all'interno del tuo account. Queste funzioni iniziano con "Automation". Se si prevede di utilizzare il servizio di automazione con funzioni Lambda, l'ARN Lambda deve utilizzare il seguente formato:

"arn:aws:lambda:*:*:function:Automation*"

Se disponi di funzioni Lambda esistenti che ARNs non utilizzano questo formato, devi anche allegare una policy Lambda aggiuntiva al tuo ruolo di automazione, come la politica Role. AWSLambda La policy o il ruolo aggiuntivo deve garantire un accesso più ampio alle funzioni Lambda all'interno dell' Account AWS.

Dopo aver creato il tuo ruolo di servizio, ti consigliamo di modificare la policy di attendibilità per evitare il problema del "confused deputy" tra servizi. Il problema confused deputy è un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire un'azione può costringere un'entità maggiormente privilegiata a eseguire l'azione. Inoltre AWS, l'impersonificazione tra servizi può portare al confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare che ciò accada, AWS mette a disposizione strumenti che consentono di proteggere i dati relativi a tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse del vostro account.

Ti consigliamo di utilizzare le chiavi di contesto delle condizioni globali aws:SourceArn e aws:SourceAccount nelle policy delle risorse per limitare le autorizzazioni con cui Automation fornisce un altro servizio alla risorsa. Se il valore aws:SourceArn non contiene l'ID account, ad esempio un ARN del bucket Amazon S3, devi utilizzare entrambe le chiavi di contesto delle condizioni globali per limitare le autorizzazioni. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali e il valore aws:SourceArn contiene l'ID account, il valore aws:SourceAccount e l'account nel valore aws:SourceArn deve utilizzare lo stesso ID account nella stessa dichiarazione di policy. Utilizzare aws:SourceArn se si desidera consentire l'associazione di una sola risorsa all'accesso tra servizi. Utilizza aws:SourceAccount se desideri consentire l'associazione di qualsiasi risorsa in tale account all'uso tra servizi. Il valore di aws:SourceArn deve essere l'ARN per l'esecuzione delle automazioni. Se non si conosce l'ARN completo della risorsa o se si sta specificando più risorse, utilizzare la chiave di condizione del contesto globale aws:SourceArn con caratteri speciali (*) per le parti sconosciute dell'ARN. Ad esempio arn:aws:ssm:*:123456789012:automation-execution/*.

L'esempio seguente mostra il modo in cui puoi utilizzare le chiavi di contesto delle condizioni globali aws:SourceArn e aws:SourceAccount per l'automazione per prevenire il problema confused deputy.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "ssm.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:ssm:*:123456789012:automation-execution/*"
        }
      }
    }
  ]
}
Per modificare una policy di attendibilità del ruolo

  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, seleziona Ruoli.

  3. Nell'elenco dei ruoli dell'account, scegliere il nome del ruolo di servizio di Automation.

  4. Selezionare la scheda Trust relationships (Relazioni di trust) e scegliere Edit trust relationship (Modifica relazione di trust).

  5. Modificare la policy di attendibilità utilizzando le chiavi di contesto delle condizioni globali aws:SourceArn e aws:SourceAccount per fare in modo che Automation prevenga il problema del "confused deputy".

  6. Per salvare le modifiche, scegliere Update Trust Policy (Aggiorna policy di attendibilità).

(Facoltativo) Aggiungi una policy in linea di automazione o una policy gestita dal cliente per richiamarne altre Servizi AWS

Se esegui un'automazione che richiama altri Servizi AWS utilizzando un ruolo di servizio IAM, il ruolo di servizio deve essere configurato con l'autorizzazione a richiamare tali servizi. Questo requisito si applica a tutti i runbook di AWS automazione (AWS-*runbook) come,, e AWS-RestartEC2Instance runbook AWS-ConfigureS3BucketLoggingAWS-CreateDynamoDBBackup, solo per citarne alcuni. Questo requisito vale anche per i runbook personalizzati che utilizzano altri Servizi AWS tramite l'utilizzo di operazioni che chiamano altri servizi. Ad esempio, se utilizzi le operazioni aws:executeAwsApi. aws:CreateStack o aws:copyImage, per citarne alcune, devi configurare il ruolo di servizio con l'autorizzazione per richiamare questi servizi. Puoi concedere autorizzazioni ad altri Servizi AWS aggiungendo al ruolo una policy in linea IAM o una policy gestita dal cliente.

Per incorporare una policy inline per un ruolo di servizio (console IAM)

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo. https://console.aws.amazon.com/iam/

  2. Nel pannello di navigazione, scegliere Roles (Ruoli).

  3. Nell'elenco, scegliere il nome del ruolo da modificare.

  4. Scegliere la scheda Permissions (Autorizzazioni).

  5. Nell'elenco a discesa Aggiungi autorizzazioni, scegli Collega policy o Crea policy inline.

  6. Se scegli Collega policy, seleziona la casella di controllo accanto alla policy che desideri aggiungere e scegli Aggiungi autorizzazioni.

  7. Scegli Crea policy inline, quindi scegli la scheda JSON.

  8. Inserisci un documento di policy JSON per il file Servizi AWS che desideri richiamare. Di seguito sono riportati due documenti della policy JSON di esempio.

    Amazon S3 PutObject ed esempio GetObject

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}

    Amazon EC2 CreateSnapshot ed DescribeSnapShots esempio

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ec2:CreateSnapshot",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":"ec2:DescribeSnapshots",
         "Resource":"*"
      }
   ]
}

    Per informazioni sul linguaggio della policy IAM consulta Riferimento alle policy JSON IAM nella Guida per l'utente di IAM.

  9. Al termine, seleziona Review policy (Rivedi policy). In Policy Validator (Validatore di policy) vengono segnalati eventuali errori di sintassi.

  10. Nella pagina Review policy (Rivedi policy), inserire un Name (Nome) per la policy che stai creando. Consulta il Summary (Riepilogo) della policy per visualizzare le autorizzazioni concesse dalla policy. Seleziona Create policy (Crea policy) per salvare il proprio lavoro.

  11. Una volta creata, una policy inline viene automaticamente incorporata nel ruolo.

Attività 2: allega la PassRole policy iam: al tuo ruolo di Automation

Utilizza la procedura seguente per collegare la policy iam:PassRole al ruolo di servizio dell'automazione. Ciò consente al servizio di automazione di passare il ruolo ad altri servizi o strumenti di Systems Manager durante l'esecuzione delle automazioni.

Per allegare la policy iam: PassRole al tuo ruolo di Automation

  1. Nella pagina Summary (Riepilogo) per il ruolo creato in precedenza, scegliere la scheda Permissions (Autorizzazioni).

  2. Scegliere Add inline policy (Aggiungi policy inline).

  3. Nella pagina Create Policy (Crea policy), scegliere la scheda Visual editor (Editor visivo).

  4. Scegliere Service (Servizio), quindi IAM.

  5. Scegliere Select actions (Seleziona operazioni).

  6. Nella casella di testo Filtra azioniPassRole, digita e scegli l'PassRoleopzione.

  7. Scegliere Resources (Risorse). Verifica che l'opzione Specific (Specifico) sia selezionata, quindi scegliere Add ARN (Aggiungi ARN).

  8. Nel campo Specify ARN for role (Specifica ARN per il ruolo), incolla l'ARN del ruolo di automazione copiato alla fine del processo 1. Il sistema popola automaticamente i campi Account e Role name with path (Nome ruolo con percorso).

    Nota

    Se desideri che il ruolo del servizio di automazione associ un ruolo del profilo dell'istanza IAM a un' EC2 istanza, devi aggiungere l'ARN del ruolo del profilo dell'istanza IAM. Ciò consente al ruolo del servizio di automazione di passare il ruolo del profilo dell'istanza IAM all' EC2 istanza di destinazione.

  9. Scegliere Add (Aggiungi).

  10. Scegliere Review policy (Rivedi policy).

  11. Nella pagina Review Policy (Rivedi policy), inserire un nome, quindi scegliere Create Policy (Crea policy).