Configurazione di ruoli e autorizzazioni per Change Manager - AWS Systems Manager
Attività 1: creazione di una policy di ruolo assunto per Change ManagerAttività 2: creazione di un ruolo assunto per Change ManagerAttività 3: collegamento della policy iam:PassRole ad altri ruoliAttività 4: aggiungere politiche in linea a un ruolo da assumere per richiamarne altri Servizi AWSAttività 5: configurazione dell'accesso utente a Change Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di ruoli e autorizzazioni per Change Manager

Per impostazione predefinita, Change Manager non è autorizzato a eseguire operazioni sulle tue risorse. È necessario concedere l'accesso utilizzando un ruolo di servizio AWS Identity and Access Management (IAM) o assumere un ruolo. Questo ruolo consente a Change Manager di eseguire in modo sicuro i flussi di lavoro dei runbook specificati in una richiesta di modifica approvata per tuo conto. Il ruolo concede AWS Security Token Service (AWS STS) AssumeRolefiducia aChange Manager.

Fornendo a un ruolo queste autorizzazioni per agire per conto degli utenti di un'organizzazione, non è necessario che agli utenti venga concessa tale serie di autorizzazioni. Le azioni consentite dalle autorizzazioni sono limitate solo alle operazioni approvate.

Quando gli utenti dell'account o dell'organizzazione creano una richiesta di modifica, possono selezionare questo ruolo assunto per eseguire le operazioni di modifica.

Puoi creare un nuovo ruolo assunto per Change Manager oppure aggiornare un ruolo esistente con le autorizzazioni necessarie.

Se devi creare un ruolo di servizio per Change Manager, completa le seguenti attività.

Attività 1: creazione di una policy di ruolo assunto per Change Manager

Utilizza la procedura seguente per creare la policy che sarà allegata al tuo ruolo assunto di Change Manager.

Creazione di una policy di ruolo assunto per Change Manager

  1. Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, seleziona Policies (Policy) e Create Policy (Crea policy).

  3. Nella pagina Crea policy, scegli la JSONscheda e sostituisci il contenuto predefinito con il seguente, che modificherai per Change Manager le tue operazioni nei passaggi seguenti.

    Nota

    Se stai creando una politica da utilizzare con una singola Account AWS organizzazione e non con più account Regioni AWS, puoi omettere il primo blocco di rendiconti. L'autorizzazione iam:PassRole non è richiesta nel caso in cui un singolo account utilizzi Change Manager.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::delegated-admin-account-id:role/AWS-SystemsManager-job-functionAdministrationRole",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ssm.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeDocument",
                "ssm:GetDocument",
                "ssm:StartChangeRequestExecution"
            ],
            "Resource": [
                "arn:aws:ssm:region:account-id:automation-definition/template-name:$DEFAULT",
                "arn:aws:ssm:region::document/template-name"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:ListOpsItemEvents",
                "ssm:GetOpsItem",
                "ssm:ListDocuments",
                "ssm:DescribeOpsItems"
            ],
            "Resource": "*"
        }
    ]
}

  4. Per l'iam:PassRoleazione, aggiorna il Resource valore per includere tutte le funzioni lavorative definite per l'ARNsorganizzazione a cui desideri concedere le autorizzazioni per avviare i flussi di lavoro dei runbook.

  5. Sostituisci il region, account-id, template-name, delegated-admin-account-ide job-function segnaposti con valori per le tue Change Manager operazioni.

  6. Per la seconda istruzione di Resource, modifica l'elenco in modo da includere tutti i modelli di modifica per i quali desideri concedere le autorizzazioni. In alternativa, specifica "Resource": "*" per concedere le autorizzazioni per tutti i modelli di modifica nell'organizzazione.

  7. Scegli Successivo: Tag.

  8. (Facoltativo) Aggiungere una o più coppie tag chiave-valore per organizzare, monitorare o controllare l'accesso per questa policy.

  9. Scegli Prossimo: Rivedi.

  10. Nella pagina Review policy (Rivedi policy), immetti un nome nella casella Name (Nome), ad esempio MyChangeManagerAssumeRole, quindi immetti una descrizione facoltativa.

  11. Scegli Create policy (Crea policy) e continua con Attività 2: creazione di un ruolo assunto per Change Manager.

Attività 2: creazione di un ruolo assunto per Change Manager

Utilizza la procedura seguente per creare un ruolo assunto di Change Manager, un tipo di ruolo di servizio, per Change Manager.

Creazione di un ruolo assunto per Change Manager

  1. Apri la IAM console all'indirizzo. https://console.aws.amazon.com/iam/

  2. Nel riquadro di navigazione, scegli Ruoli e quindi Crea ruolo.

  3. Per Select trusted entity (Seleziona un'entità attendibile), effettua le seguenti selezioni:

    1. Per Trusted entity type (Tipo di entità attendibile), scegli AWS service (Servizio)

    2. Per casi d'uso per altri Servizi AWS, scegli Systems Manager

    3. Scegli Systems Manager, come mostrato nell'immagine seguente.

      Schermata che illustra l'opzione Systems Manager selezionata come caso d'uso.

  4. Scegli Next (Successivo).

  5. Nella pagina Attached permissions policy (Policy delle autorizzazioni collegate), cerca la policy del ruolo da assegnare creato in Attività 1: creazione di una policy di ruolo assunto per Change Manager, ad esempio MyChangeManagerAssumeRole.

  6. Seleziona la casella di controllo accanto al nome della policy, quindi scegli Next: Tags (Successivo: Tag).

  7. Per Nome ruolo, inserisci un nome per il nuovo profilo dell'istanza, ad esempio MyChangeManagerAssumeRole.

  8. (Facoltativo) Per Role description (Descrizione ruolo), aggiorna la descrizione di questo ruolo dell'istanza.

  9. (Facoltativo) Aggiungere una o più coppie tag chiave-valore per organizzare, monitorare o controllare l'accesso per questo ruolo.

  10. Scegli Prossimo: Rivedi.

  11. (Facoltativo) Per Tags (Tag), aggiungi una o più coppie tag chiave-valore chiave per organizzare, monitorare o controllare l'accesso per questo ruolo, quindi scegli Create role (Crea ruolo). Il sistema ti riporta alla pagina Ruoli.

  12. Scegliere Create role (Crea ruolo). Il sistema visualizza di nuovo la pagina Roles (Ruoli).

  13. Nella pagina Roles (Ruoli) scegliere il ruolo appena creato per aprire la pagina Summary (Riepilogo).

Attività 3: collegamento della policy iam:PassRole ad altri ruoli

Utilizza la procedura seguente per allegare la iam:PassRole policy a un profilo di IAM istanza o a un ruolo IAM di servizio. (Il servizio Systems Manager utilizza i profili di IAM istanza per comunicare con EC2 le istanze. Per i nodi non EC2 gestiti in un ambiente ibrido e multicloud, viene invece utilizzato un ruolo IAM di servizio.)

Allegando la policy iam:PassRole, il servizio Change Manager può passare le autorizzazioni del ruolo assunto ad altri servizi o ad altre funzionalità di Systems Manager durante l'esecuzione di flussi di lavoro dei runbook.

Per allegare la iam:PassRole policy a un profilo di IAM istanza o a un ruolo di servizio

  1. Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, seleziona Ruoli.

  3. Cerca il ruolo assunto Change Manager creato, ad esempio MyChangeManagerAssumeRole, e selezionalo.

  4. Nella pagina Summary (Riepilogo) del ruolo assunto, scegli la scheda Permissions (Autorizzazioni).

  5. Scegli Add permissions, Create inline policy (Aggiungi autorizzazioni, Crea policy inline).

  6. Nella pagina Create Policy (Crea policy), scegliere la scheda Visual editor (Editor visivo).

  7. Scegli Servizio, quindi scegli IAM.

  8. Nella casella di testo Filtro azioniPassRole, immettete e scegliete l'PassRoleopzione.

  9. Espandi Resources (Risorse). Verifica che sia selezionata l'opzione Specifico, quindi scegli Aggiungi ARN.

  10. Nel campo Specificare ARN il ruolo, inserisci il ruolo ARN del profilo di IAM istanza o il ruolo di IAM servizio a cui desideri passare le autorizzazioni di assunzione del ruolo. Il sistema popola automaticamente i campi Account e Role name with path (Nome ruolo con percorso).

  11. Scegliere Add (Aggiungi).

  12. Scegliere Review policy (Rivedi policy).

  13. Per Name (Nome), inserisci un nome per identificare questa policy, quindi scegli Create policy (Crea policy).

Ulteriori informazioni

Attività 4: aggiungere politiche in linea a un ruolo da assumere per richiamarne altri Servizi AWS

Quando una richiesta di modifica richiama altre persone Servizi AWS utilizzando il ruolo assume, il ruolo Change Manager assume deve essere configurato con l'autorizzazione a richiamare tali servizi. Questo requisito si applica a tutti i runbook di AWS automazione (AWS-* runbook) che possono essere utilizzati in una richiesta di modifica, ad esempio i runbook e i runbook. AWS-ConfigureS3BucketLogging AWS-CreateDynamoDBBackup AWS-RestartEC2Instance Questo requisito si applica anche a tutti i runbook personalizzati creati dall'utente che richiamano altri utenti Servizi AWS utilizzando azioni che richiamano altri servizi. Ad esempio, se utilizzi le operazioni aws:executeAwsApi, aws:CreateStack o aws:copyImage, allora dovrai configurare il ruolo di servizio con l'autorizzazione per richiamare questi servizi. È possibile abilitare le autorizzazioni ad altri utenti Servizi AWS aggiungendo una policy IAM in linea al ruolo.

Aggiungere una politica in linea a un ruolo da assumere per invocarne altri (console) Servizi AWS IAM

  1. Accedi a AWS Management Console e apri la IAM console all'indirizzo. https://console.aws.amazon.com/iam/

  2. Nel riquadro di navigazione, seleziona Ruoli.

  3. Nell'elenco, scegli il nome del ruolo assunto che desideri aggiornare, ad esempio MyChangeManagerAssumeRole.

  4. Scegli la scheda Autorizzazioni.

  5. Scegli Add permissions, Create inline policy (Aggiungi autorizzazioni, Crea policy inline).

  6. Scegli la JSONscheda.

  7. Inserisci un documento di JSON policy per Servizi AWS quello che desideri richiamare. Ecco due esempi di documenti JSON politici.

    Esempio di PutObject e GetObject di Amazon S3

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}

    Amazon EC2 CreateSnapshot ed DescribeSnapShots esempio

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ec2:CreateSnapshot",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":"ec2:DescribeSnapshots",
         "Resource":"*"
      }
   ]
}

    Per i dettagli sulla lingua della IAM policy, consulta il riferimento alla IAM JSON policy nella Guida IAM per l'utente.

  8. Al termine, seleziona Review policy (Rivedi policy). In Policy Validator (Validatore di policy) vengono segnalati eventuali errori di sintassi.

  9. Per Name (Nome), inserisci un nome per identificare la policy che stai creando. Consulta il Summary (Riepilogo) della policy per visualizzare le autorizzazioni concesse dalla policy. Seleziona Create policy (Crea policy) per salvare il proprio lavoro.

  10. Una volta creata, una policy inline viene automaticamente incorporata nel ruolo.

Attività 5: configurazione dell'accesso utente a Change Manager

Se al tuo utente, gruppo o ruolo sono assegnate le autorizzazioni come amministratore, allora hai accesso a Change Manager. Se non disponi delle autorizzazioni di amministratore, un amministratore dovrà assegnare la policy gestita AmazonSSMFullAccess oppure una policy che conceda autorizzazioni analoghe all'utente, al gruppo o al ruolo.

Completa la procedura seguente per configurare un utente per l'utilizzo di Change Manager. L'utente scelto disporrà dell'autorizzazione necessaria per configurare ed eseguire Change Manager.

A seconda dell'applicazione di identità utilizzata nell'organizzazione, è possibile selezionare una delle tre opzioni disponibili per configurare l'accesso degli utenti. Durante la configurazione dell'accesso utente, assegna o aggiungi quanto segue:

  1. Assegna la policy AmazonSSMFullAccess o una policy analoga che autorizzi l'accesso a Systems Manager.

  2. Assegna la policy iam:PassRole.

  3. Aggiungi il ruolo ARN for the Change Manager assume che hai copiato alla fine diAttività 2: creazione di un ruolo assunto per Change Manager.

Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:

A questo punto, la configurazione dei ruoli richiesti per Change Manager è stata completata. Ora puoi usare il ruolo Change Manager assumi ARN nelle tue Change Manager operazioni.