Verifica dell'accesso utente per runbook Configurazione di un accesso al ruolo di servizio (ruolo presunto) per le automazioni

Configurazione del servizio di automazione

Per configurare l'automazione, una funzionalità di AWS Systems Manager, è necessario verificare l'accesso degli utenti al servizio di automazione e configurare i ruoli in base alla situazione in modo che il servizio possa eseguire azioni sulle risorse. Ti consigliamo inoltre di accedere alla modalità di simultaneità adattiva nelle preferenze di Automation. La simultaneità adattiva dimensiona automaticamente la quota di automazione per soddisfare le tue esigenze. Per ulteriori informazioni, consulta Consentire ad Automation di adattarsi alle proprie esigenze di simultaneità.

Per garantire un accesso corretto all' AWS Systems Manager automazione, consulta i seguenti requisiti del ruolo utente e di servizio.

Verifica dell'accesso utente per runbook

Verifica di disporre dell'autorizzazione per utilizzare i runbook. Se all'utente, al gruppo o al ruolo sono assegnate le autorizzazioni di amministratore, potrai accedere all'Automazione di Systems Manager. Se non disponi delle autorizzazioni di amministratore, un amministratore dovrà concedere le autorizzazioni necessarie assegnando la policy gestita AmazonSSMFullAccess oppure una policy che conceda autorizzazioni analoghe all'utente, al gruppo o al ruolo.

Importante

La policy IAM di AmazonSSMFullAccess concede autorizzazioni per le operazioni di Systems Manager. Tuttavia, alcuni runbook richiedono le autorizzazioni ad altri servizi, ad esempio il runbook di AWS-ReleaseElasticIP, che richiede autorizzazioni IAM per ec2:ReleaseAddress. Pertanto, è necessario rivedere le operazioni eseguite in un runbook per garantire che all'utente, al gruppo o al ruolo vengano assegnate le autorizzazioni necessarie per eseguire le operazioni incluse nel runbook.

Configurazione di un accesso al ruolo di servizio (ruolo presunto) per le automazioni

Le automazioni possono essere avviate nel contesto di un ruolo di servizio (o ruolo presunto). Ciò permette al servizio di eseguire operazioni per conto tuo. Se non specifichi un ruolo presunto, il servizio di automazione utilizza il contesto dell'utente che ha richiamato l'automazione.

Tuttavia, i seguenti scenari richiedono di specificare un ruolo di servizio di automazione:

Quando si desidera limitare le autorizzazioni di un utente per una risorsa, ma che permette all'utente di eseguire un' automazione che richiede autorizzazioni elevate. In questo scenario è possibile creare un ruolo di servizio con autorizzazioni elevate e permettere all'utente di eseguire l'automazione.
Quando si crea un'associazione di Systems Manager State Manager che esegue un runbook.
Quando disponi di operazioni che prevedi vengano eseguite per più di 12 ore.
Quando esegui un runbook non di proprietà di Amazon che utilizza l'aws:executeScriptazione per richiamare un'operazione AWS API o agire su una AWS risorsa. Per informazioni, consulta Autorizzazioni per l'utilizzo di runbook.

Se devi creare un ruolo di servizio per il servizio di automazione, puoi utilizzare uno dei seguenti metodi.

Argomenti

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Servizio di automazione

Creare ruoli di servizio per l'automazione utilizzando AWS CloudFormation