• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controlla l'accesso alle finestre di manutenzione utilizzando AWS CLI
Le procedure seguenti descrivono come utilizzare AWS Command Line Interface (AWS CLI) per creare le autorizzazioni e i ruoli richiesti perMaintenance Windows, uno strumento in. AWS Systems Manager
**Topics**
+ [Attività 1: crea file di policy di fiducia e di policy gestita dal cliente in formato JSON](#create-custom-policy-json-files-cli)
+ [Attività 2: Creare e verificare un ruolo di servizio personalizzato per le finestre di manutenzione utilizzando AWS CLI](#create-custom-role-cli)
+ [Attività 3: concedere le autorizzazioni a utenti specifici per registrare le attività della finestra di manutenzione utilizzando il AWS CLI](#allow-maintenance-window-access-cli)
+ [Attività 4: Impedire agli utenti specificati di registrare le attività della finestra di manutenzione utilizzando AWS CLI](#deny-maintenance-window-access-cli)
## Attività 1: crea file di policy di fiducia e di policy gestita dal cliente in formato JSON
Le attività della finestra di manutenzione richiedono un ruolo IAM per concedere le autorizzazioni necessarie per l'esecuzione sulle risorse di destinazione. Le autorizzazioni vengono fornite tramite una policy IAM collegata al ruolo. I tipi di attività eseguite e gli altri requisiti operativi determinano il contenuto di questa policy. Forniamo una policy di base da poter adattare alle proprie esigenze. A seconda delle attività e dei tipi di attività eseguite dalle finestre di manutenzione, è possibile che non tutte le autorizzazioni in questa policy siano necessarie, mentre potrebbe rendersi necessario includere autorizzazioni aggiuntive.
In questa attività, specificherai le autorizzazioni necessarie per il ruolo della finestra di manutenzione personalizzata in un paio di file JSON. Dovrai collegare questa policy al ruolo che creerai successivamente in [Attività 2: Creare e verificare un ruolo di servizio personalizzato per le finestre di manutenzione utilizzando AWS CLI](#create-custom-role-cli).
**Per creare file di policy di fiducia e di policy gestita dal cliente**
1. Copiare e incollare la seguente policy di attendibilità in un file di testo. Salva il file con il nome ed estensione seguenti: **mw-role-trust-policy.json**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Copia e incolla la seguente policy JSON in un file di testo diverso. Nella stessa directory in cui hai creato il primo file, salva questo file con il nome e l'estensione seguenti: **mw-role-custom-policy.json**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:CancelCommand",
"ssm:ListCommands",
"ssm:ListCommandInvocations",
"ssm:GetCommandInvocation",
"ssm:GetAutomationExecution",
"ssm:StartAutomationExecution",
"ssm:ListTagsForResource",
"ssm:GetParameters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"states:DescribeExecution",
"states:StartExecution"
],
"Resource": [
"arn:aws:states:*:*:execution:*:*",
"arn:aws:states:*:*:stateMachine:*"
]
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*"
]
},
{
"Effect": "Allow",
"Action": [
"resource-groups:ListGroups",
"resource-groups:ListGroupResources"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/maintenance-window-role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ssm.amazonaws.com"
]
}
}
}
]
}
```
------
1. Modifica il contenuto di `mw-role-custom-policy.json` in base alle necessità per le attività di manutenzione eseguite nel tuo account. Le modifiche apportate sono specifiche per le operazioni pianificate.
Esempio:
+ Puoi fornire Amazon Resource Names (ARNs) per funzioni e macchine a stati specifiche invece di utilizzare i qualificatori wildcard (\$1).
+ Se non hai intenzione di eseguire AWS Step Functions attività, puoi rimuovere le `states` autorizzazioni e (). ARNs
+ Se non hai intenzione di eseguire AWS Lambda attività, puoi rimuovere le `lambda` autorizzazioni e. ARNs
+ Se non prevedi l'esecuzione di attività di automazione, puoi rimuovere le autorizzazioni `ssm:GetAutomationExecution` e `ssm:StartAutomationExecution`.
+ Aggiungi le autorizzazioni supplementari che potrebbero essere necessarie per l'esecuzione delle attività. Ad esempio, alcune operazioni di automazione utilizzano gli stack di AWS CloudFormation . Pertanto, servono le autorizzazioni `cloudformation:CreateStack`, `cloudformation:DescribeStacks` e `cloudformation:DeleteStack`.
Un altro esempio: il runbook Automation `AWS-CopySnapshot` richiede le autorizzazioni per creare uno snapshot Amazon Elastic Block Store (Amazon EBS). Pertanto, il ruolo di servizio richiede l’autorizzazione `ec2:CreateSnapshot`.
Per informazioni sulle autorizzazioni di ruolo necessarie per i runbook di automazione, consulta le descrizioni dei runbook nella [Documentazione di riferimento ai runbook di automazione AWS Systems Manager](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-runbook-reference.html).
Salva nuovamente il file dopo aver apportato le modifiche necessarie.
## Attività 2: Creare e verificare un ruolo di servizio personalizzato per le finestre di manutenzione utilizzando AWS CLI
La policy che hai creato nell'attività precedente è associata al ruolo di servizio della finestra di manutenzione che crei in questa attività. Quando gli utenti registrano un'attività della finestra di manutenzione, specificano questo ruolo IAM come parte della configurazione dell'attività. Le autorizzazioni in questo ruolo consentono a Systems Manager di eseguire attività nelle finestre di manutenzione per conto tuo.
**Importante**
In precedenza, la console Systems Manager offriva la possibilità di scegliere il ruolo collegato ai servizi IAM AWS gestito `AWSServiceRoleForAmazonSSM` da utilizzare come ruolo di manutenzione per le attività. Non è più consigliato utilizzare questo ruolo e la relativa policy associata, `AmazonSSMServiceRolePolicy`, per le attività della finestra di manutenzione. Se stai ancora utilizzando questo ruolo per le attività della finestra di manutenzione, ti invitiamo a interromperne l'utilizzo. Invece, crea il tuo ruolo IAM che abiliti la comunicazione tra Systems Manager e altri Servizi AWS quando vengono eseguite le attività della finestra di manutenzione.
In questa attività, eseguirai i comandi CLI per creare il ruolo di servizio delle finestre di manutenzione, aggiungendo il contenuto della policy dai file JSON che hai creato.
**Crea un ruolo di servizio personalizzato per le finestre di manutenzione utilizzando AWS CLI**
1. Apri AWS CLI ed esegui il seguente comando nella directory in cui hai inserito `mw-role-custom-policy.json` e`mw-role-trust-policy.json`. Il comando crea un ruolo di servizio della finestra di manutenzione chiamato `my-maintenance-window-role`, a cui collega la *policy di fiducia*.
------
#### [ Linux & macOS ]
```
aws iam create-role \
--role-name "my-maintenance-window-role" \
--assume-role-policy-document file://mw-role-trust-policy.json
```
------
#### [ Windows ]
```
aws iam create-role ^
--role-name "my-maintenance-window-role" ^
--assume-role-policy-document file://mw-role-trust-policy.json
```
------
Questo sistema restituisce informazioni simili alle seguenti.
```
{
"Role": {
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
}
}
]
},
"RoleId": "AROAIIZKPBKS2LEXAMPLE",
"CreateDate": "2024-08-19T03:40:17.373Z",
"RoleName": "my-maintenance-window-role",
"Path": "/",
"Arn": "arn:aws:iam::123456789012:role/my-maintenance-window-role"
}
}
```
**Nota**
Annota i valori di `RoleName` e `Arn`. Dovrai includerli nel comando successivo.
1. Esegui il seguente comando per collegare la *policy gestita dal cliente* al ruolo. Sostituisci il *account-id* segnaposto con il tuo ID Account AWS
------
#### [ Linux & macOS ]
```
aws iam attach-role-policy \
--role-name "my-maintenance-window-role" \
--policy-arn "arn:aws:iam::account-id:policy/mw-role-custom-policy.json"
```
------
#### [ Windows ]
```
aws iam attach-role-policy ^
--role-name "my-maintenance-window-role" ^
--policy-arn "arn:aws:iam::account-id:policy/mw-role-custom-policy.json"
```
------
1. Esegui il seguente comando per verificare che il ruolo sia stato creato e che la policy di fiducia sia stata collegata.
```
aws iam get-role --role-name my-maintenance-window-role
```
Questo comando restituisce informazioni simili alle seguenti:
```
{
"Role": {
"Path": "/",
"RoleName": "my-maintenance-window-role",
"RoleId": "AROA123456789EXAMPLE",
"Arn": "arn:aws:iam::123456789012:role/my-maintenance-window-role",
"CreateDate": "2024-08-19T14:13:32+00:00",
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
},
"MaxSessionDuration": 3600,
"RoleLastUsed": {
"LastUsedDate": "2024-08-19T14:30:44+00:00",
"Region": "us-east-2"
}
}
}
```
1. Esegui il seguente comando per verificare che la policy gestita dal cliente sia stata collegata al ruolo.
```
aws iam list-attached-role-policies --role-name my-maintenance-window-role
```
Questo comando restituisce informazioni simili alle seguenti:
```
{
"AttachedPolicies": [
{
"PolicyName": "mw-role-custom-policy",
"PolicyArn": "arn:aws:iam::123456789012:policy/mw-role-custom-policy"
}
]
}
```
## Attività 3: concedere le autorizzazioni a utenti specifici per registrare le attività della finestra di manutenzione utilizzando il AWS CLI
La concessione agli utenti delle autorizzazioni di accesso al ruolo di servizio personalizzato per la finestra di manutenzione consente loro di utilizzarlo con le attività delle finestre di manutenzione. Si tratta di un'aggiunta alle autorizzazioni già concesse agli utenti per lavorare con i comandi dell'API di Systems Manager dello strumento Maintenance Windows. Questo ruolo IAM trasmette le autorizzazioni necessarie per eseguire un'attività della finestra di manutenzione. Di conseguenza, un utente non può registrare le attività con una finestra di manutenzione utilizzando il ruolo di servizio personalizzato senza la possibilità di passare queste autorizzazioni IAM.
Quando registri un'attività con una finestra di manutenzione, devi specificare un ruolo di servizio per eseguire le operazioni dell'attività effettiva. È il ruolo che assume il servizio durante l'esecuzione di attività per conto dell'utente. Prima di ciò, per registrare l'attività stessa, assegna la policy IAM `PassRole` a un'entità IAM (come un utente o un gruppo). Ciò consente all'entità IAM di specificare, nell'ambito della registrazione di tali attività nella finestra di manutenzione, il ruolo da utilizzare durante l'esecuzione delle attività. Per informazioni, consulta [Concedi autorizzazioni utente per il passaggio di un ruolo a Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) nella *Guida per l'utente IAM*.
**Per configurare le autorizzazioni per gli utenti autorizzati a registrare le attività della finestra di manutenzione utilizzando AWS CLI**
1. Copia e incolla la seguente politica AWS Identity and Access Management (IAM) in un editor di testo e salvala con il nome e l'estensione di file seguenti:`mw-passrole-policy.json`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/my-maintenance-window-role"
},
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::111122223333:role/"
},
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/ssm.amazonaws.com/"
}
]
}
```
------
Sostituiscila *my-maintenance-window-role* con il nome del ruolo della finestra di manutenzione personalizzata che hai creato in precedenza.
Sostituiscilo *account-id* con l'ID del tuo Account AWS. L'aggiunta di questa autorizzazione per la risorsa `arn:aws:iam::account-id:role/` consente agli utenti del gruppo di visualizzare e scegliere tra i ruoli dei clienti nella console quando creano un'attività della finestra di manutenzione. L'aggiunta di questa autorizzazione per `arn:aws:iam::account-id:role/aws-service-role/ssm.amazonaws.com/` consente agli utenti del gruppo di scegliere il ruolo Systems Manager collegato ai servizi nella console quando creano un'attività della finestra di manutenzione.
1. Apri il AWS CLI.
1. Per concedere l'autorizzazione a un’entità IAM (utente o gruppo), esegui uno dei seguenti comandi.
+ **Per un'entità IAM:**
------
#### [ Linux & macOS ]
```
aws iam put-user-policy \
--user-name "user-name" \
--policy-name "policy-name" \
--policy-document file://path-to-document
```
------
#### [ Windows ]
```
aws iam put-user-policy ^
--user-name "user-name" ^
--policy-name "policy-name" ^
--policy-document file://path-to-document
```
------
Per*user-name*, specificare l'utente che assegna le attività alle finestre di manutenzione. Per*policy-name*, specifica il nome che desideri utilizzare per identificare la politica, ad esempio**my-iam-passrole-policy**. Per*path-to-document*, specifica il percorso del file salvato nel passaggio 1. Ad esempio: `file://C:\Temp\mw-passrole-policy.json`
**Nota**
Per concedere l'accesso di un utente alla registrazione delle attività delle finestre di manutenzione utilizzando la console di Systems Manager, è inoltre necessario assegnare la policy `AmazonSSMFullAccess` all'utente (o una policy IAM che fornisca un insieme più piccolo di autorizzazioni di accesso per Systems Manager che esegue le attività delle finestre di manutenzione). Per assegnare la policy `AmazonSSMFullAccess` all’utente, esegui questo comando.
```
aws iam attach-user-policy \
--policy-arn "arn:aws:iam::aws:policy/AmazonSSMFullAccess" \
--user-name "user-name"
```
```
aws iam attach-user-policy ^
--policy-arn "arn:aws:iam::aws:policy/AmazonSSMFullAccess" ^
--user-name "user-name"
```
+ **Per un gruppo IAM:**
------
#### [ Linux & macOS ]
```
aws iam put-group-policy \
--group-name "group-name" \
--policy-name "policy-name" \
--policy-document file://path-to-document
```
------
#### [ Windows ]
```
aws iam put-group-policy ^
--group-name "group-name" ^
--policy-name "policy-name" ^
--policy-document file://path-to-document
```
------
Per*group-name*, specifica il gruppo i cui membri assegnano le attività alle finestre di manutenzione. Per*policy-name*, specifica il nome che desideri utilizzare per identificare la politica, ad esempio**my-iam-passrole-policy**. Per*path-to-document*, specifica il percorso del file salvato nel passaggio 1. Ad esempio: `file://C:\Temp\mw-passrole-policy.json`
**Nota**
Per concedere l'accesso ai membri di un gruppo per registrare le attività per le finestre di manutenzione utilizzando la console di Systems Manager, è anche necessario assegnare la policy `AmazonSSMFullAccess` al gruppo. Per assegnare questa policy al gruppo esegui il seguente comando.
```
aws iam attach-group-policy \
--policy-arn "arn:aws:iam::aws:policy/AmazonSSMFullAccess" \
--group-name "group-name"
```
```
aws iam attach-group-policy ^
--policy-arn "arn:aws:iam::aws:policy/AmazonSSMFullAccess" ^
--group-name "group-name"
```
1. Esegui il seguente comando per verificare che la policy sia stata assegnata al gruppo.
------
#### [ Linux & macOS ]
```
aws iam list-group-policies \
--group-name "group-name"
```
------
#### [ Windows ]
```
aws iam list-group-policies ^
--group-name "group-name"
```
------
## Attività 4: Impedire agli utenti specificati di registrare le attività della finestra di manutenzione utilizzando AWS CLI
Puoi negare l'`ssm:RegisterTaskWithMaintenanceWindow`autorizzazione agli utenti della tua azienda Account AWS che non desideri registrare le attività nelle finestre di manutenzione. Ciò fornisce un ulteriore livello di prevenzione per gli utenti che non devono registrare le attività della finestra di manutenzione.
A seconda del fatto che l'autorizzazione `ssm:RegisterTaskWithMaintenanceWindow` non venga assegnata a uno specifico utente o a un gruppo, utilizzare una delle procedure seguenti per impedire agli utenti di registrare attività con una finestra di manutenzione.
**Per configurare le autorizzazioni per gli utenti a cui non è consentito registrare le attività delle finestre di manutenzione utilizzando il AWS CLI**
1. Copia e incolla la seguente policy IAM in un editor di testo e salvala con il seguente nome ed estensione del file: **deny-mw-tasks-policy.json**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ssm:RegisterTaskWithMaintenanceWindow",
"Resource": "*"
}
]
}
```
------
1. Aprire il. AWS CLI
1. Per concedere l'autorizzazione a un’entità IAM (utente o gruppo), esegui uno dei seguenti comandi.
+ **Per un utente:**
------
#### [ Linux & macOS ]
```
aws iam put-user-policy \
--user-name "user-name" \
--policy-name "policy-name" \
--policy-document file://path-to-document
```
------
#### [ Windows ]
```
aws iam put-user-policy ^
--user-name "user-name" ^
--policy-name "policy-name" ^
--policy-document file://path-to-document
```
------
Per*user-name*, specificare l'utente a cui impedire l'assegnazione di attività alle finestre di manutenzione. Per*policy-name*, specifica il nome che desideri utilizzare per identificare la politica, ad esempio**my-deny-mw-tasks-policy**. Per*path-to-document*, specifica il percorso del file salvato nel passaggio 1. Ad esempio: `file://C:\Temp\deny-mw-tasks-policy.json`
+ **Per un gruppo:**
------
#### [ Linux & macOS ]
```
aws iam put-group-policy \
--group-name "group-name" \
--policy-name "policy-name" \
--policy-document file://path-to-document
```
------
#### [ Windows ]
```
aws iam put-group-policy ^
--group-name "group-name" ^
--policy-name "policy-name" ^
--policy-document file://path-to-document
```
------
Per*group-name*, specifica il gruppo a cui impedire l'assegnazione di attività alle finestre di manutenzione. Per*policy-name*, specifica il nome che desideri utilizzare per identificare la politica, ad esempio**my-deny-mw-tasks-policy**. Per*path-to-document*, specifica il percorso del file salvato nel passaggio 1. Ad esempio: `file://C:\Temp\deny-mw-tasks-policy.json`
1. Esegui il seguente comando per verificare che la policy sia stata assegnata al gruppo.
------
#### [ Linux & macOS ]
```
aws iam list-group-policies \
--group-name "group-name"
```
------
#### [ Windows ]
```
aws iam list-group-policies ^
--group-name "group-name"
```
------