Crea il ruolo IAM di servizio richiesto per Systems Manager in ambienti ibridi e multicloud - AWS Systems Manager
Utilizzo AWS Management Console di per creare un ruolo di IAM servizio per le attivazioni ibride di Systems ManagerUtilizzo AWS CLI di per creare un ruolo di IAM servizio per le attivazioni ibride di Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea il ruolo IAM di servizio richiesto per Systems Manager in ambienti ibridi e multicloud

Le macchine non EC2 (Amazon Elastic Compute Cloud) in un ambiente ibrido e multicloud richiedono un ruolo di servizio AWS Identity and Access Management (IAM) per comunicare con il servizio. AWS Systems Manager Il ruolo concede AWS Security Token Service (AWS STS)AssumeRoleattendibile al servizio Systems Manager. Il ruolo di servizio per un ambiente ibrido e multicloud deve essere creato una sola volta per ogni Account AWS. Tuttavia, è possibile scegliere di creare più ruoli di servizio per diverse attivazioni ibride se le macchine dell'ambiente ibrido e multicloud richiedono autorizzazioni diverse.

Le procedure seguenti descrivono come creare il ruolo di servizio necessario utilizzando la console di Systems Manager o lo strumento a riga di comando preferito.

Utilizzo AWS Management Console di per creare un ruolo di IAM servizio per le attivazioni ibride di Systems Manager

La seguente procedura consente di creare un ruolo di servizio un'attivazione ibrida. Questa procedura utilizza la policy AmazonSSMManagedInstanceCore per la funzionalità di base di Systems Manager. A seconda del caso d'uso, potrebbe essere necessario aggiungere ulteriori policy al ruolo di servizio per le macchine On-Premise per poter accedere ad altre funzionalità o ad Servizi AWS. Ad esempio, senza accesso ai bucket Amazon Simple Storage Service (Amazon S3) AWS gestiti richiesti, Patch Manager le operazioni di patching falliscono.

Creazione di un ruolo per un servizio (console)

  1. Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, scegli Ruoli e quindi Crea ruolo.

  3. Per Select trusted entity (Seleziona un'entità attendibile), effettua le seguenti selezioni:

    1. Per Trusted entity type (Tipo di entità attendibile), scegli Servizio AWS.

    2. Per casi d'uso per altri Servizi AWS, scegli Systems Manager.

    3. Scegli Systems Manager.

      L'immagine seguente evidenzia la posizione dell'opzione Systems Manager.

      Systems Manager è una delle opzioni per Use case.

  4. Scegli Next (Successivo).

  5. Nella pagina Add permissions (Aggiungi autorizzazioni), esegui le operazioni seguenti:

    • Utilizzate il campo di ricerca per individuare la mazonSSMManaged InstanceCore politica A. Seleziona la casella di controllo accanto al relativo nome, come mostrato nella figura seguente.

      La casella di controllo è selezionata nella mazonSSMManaged InstanceCore riga A.

      La console mantiene la selezione anche se cerchi altre policy.

    • La console mantiene la selezione anche se cerchi altre policy.

    • Se nella procedura (Facoltativo) Creazione di una policy personalizzata per l'accesso al bucket S3 hai creato una policy di bucket S3 personalizzata, cercala e seleziona la casella accanto al suo nome.

    • Se intendi aggiungere EC2 macchine diverse a un Active Directory gestito da AWS Directory Service, cerca A mazonSSMDirectory ServiceAccess e seleziona la casella di controllo accanto al suo nome.

    • Se intendi utilizzare EventBridge o CloudWatch Logs per gestire o monitorare il nodo gestito, cerca CloudWatchAgentServerPolicye seleziona la casella di controllo accanto al suo nome.

  6. Scegli Next (Successivo).

  7. In Nome ruolo, inserisci un nome per il nuovo ruolo IAM del server, ad esempioSSMServerRole.

    Nota

    Prendi nota del nome del ruolo. Potrai scegliere questo ruolo quando registri nuove macchine che desideri gestire utilizzando Systems Manager.

  8. (Facoltativo) Per Descrizione, aggiorna la descrizione di questo ruolo IAM del server.

  9. (Facoltativo) In Tags (Tag), aggiungi una o più coppie tag chiave-valore per organizzare, monitorare o controllare l'accesso per questo ruolo.

  10. Scegliere Create role (Crea ruolo). Il sistema visualizza di nuovo la pagina Roles (Ruoli).

Utilizzo AWS CLI di per creare un ruolo di IAM servizio per le attivazioni ibride di Systems Manager

La seguente procedura consente di creare un ruolo di servizio un'attivazione ibrida. Questa procedura utilizza la policy AmazonSSMManagedInstanceCore per la funzionalità di base di Systems Manager. A seconda del caso d'uso, potrebbe essere necessario aggiungere politiche aggiuntive al ruolo di servizio per consentire ai non EC2 computer in un ambiente ibrido e multicloud di accedere ad altre funzionalità oppure Servizi AWS

Requisito delle policy dei bucket S3

Se si verifica uno dei seguenti casi, devi creare una politica di IAM autorizzazione personalizzata per i bucket Amazon Simple Storage Service (Amazon S3) prima di completare questa procedura:

  • Caso 1: stai utilizzando un VPC endpoint per connetterti privatamente ai servizi VPC endpoint supportati Servizi AWS e forniti VPC da. AWS PrivateLink

  • Caso 2: si prevede di utilizzare un bucket Amazon S3 creato nell'ambito delle operazioni di Systems Manager, ad esempio per archiviare l'output per Run Command comandi o Session Manager sessioni su un bucket S3. Prima di procedere, segui i passaggi descritti in Create a custom S3 bucket policy for an instance profileCreare una policy del bucket S3 personalizzata per un profilo dell'istanza. Le informazioni sulle policy dei bucket S3 fornite in quell'argomento sono valide anche per il ruolo di servizio.

AWS CLI
Per creare un ruolo IAM di servizio per un ambiente ibrido e multicloud ()AWS CLI

  1. Installa e configura AWS Command Line Interface (AWS CLI), se non l'hai già fatto.

    Per informazioni, consulta la pagina Installazione o aggiornamento della versione più recente di AWS CLI.

  2. Creare un file di testo con un nome, ad esempio SSMService-Trust.json con la seguente policy di attendibilità. Salvare il file con l'estensione .json. Assicurati di specificare il tuo Account AWS e il Regione AWS nel punto in ARN cui hai creato l'attivazione ibrida.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"",
         "Effect":"Allow",
         "Principal":{
            "Service":"ssm.amazonaws.com"
         },
         "Action":"sts:AssumeRole",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"123456789012"
            },
            "ArnEquals":{
               "aws:SourceArn":"arn:aws:ssm:us-east-2:123456789012:*"
            }
         }
      }
   ]
}

  3. Apri e AWS CLI, nella directory in cui hai creato il JSON file, esegui il comando create-role per creare il ruolo di servizio. Questo esempio crea un ruolo denominato SSMServiceRole. È possibile scegliere un nome diverso.

    Linux & macOSWindows
    Linux & macOS
    aws iam create-role \
    --role-name SSMServiceRole \
    --assume-role-policy-document file://SSMService-Trust.json
    Windows
    aws iam create-role ^
    --role-name SSMServiceRole ^
    --assume-role-policy-document file://SSMService-Trust.json

  4. Eseguite il attach-role-policycomando come segue per consentire al ruolo di servizio appena creato di creare un token di sessione. Il token della sessione concede al nodo gestito l'autorizzazione di eseguire comandi utilizzando Systems Manager.

    Nota

    Le politiche che aggiungi per un profilo di servizio per i nodi gestiti in un ambiente ibrido e multicloud sono le stesse politiche utilizzate per creare un profilo di istanza per le istanze Amazon Elastic Compute Cloud (AmazonEC2). Per ulteriori informazioni sulle AWS politiche utilizzate nei seguenti comandi, vedere Configurazione delle autorizzazioni di istanza richieste per Systems Manager.

    (Obbligatorio) Esegui il comando seguente per consentire a un nodo gestito di utilizzare le funzionalità AWS Systems Manager di base del servizio.

    Linux & macOSWindows
    Linux & macOS
    aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
    Windows
    aws iam attach-role-policy ^
    --role-name SSMServiceRole ^
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

    Se hai creato una policy personalizzata per il bucket S3 per il tuo ruolo di servizio, esegui il comando seguente per consentire AWS Systems Manager all'agente (SSM Agent) per accedere ai bucket specificati nella policy. Replace (Sostituisci) account-id e amzn-s3-demo-bucket con il tuo Account AWS ID e il nome del tuo bucket.

    Linux & macOSWindows
    Linux & macOS
    aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::account-id:policy/amzn-s3-demo-bucket
    Windows
    aws iam attach-role-policy ^
    --role-name SSMServiceRole ^
    --policy-arn arn:aws:iam::account-id:policy/amzn-s3-demo-bucket

    (Facoltativo) Esegui il seguente comando per consentire SSM Agent per accedere per tuo AWS Directory Service conto alle richieste di aggiunta al dominio da parte del nodo gestito. Il tuo ruolo di servizio necessita di questa politica solo se unisci i tuoi nodi a un Microsoft Directory AD.

    Linux & macOSWindows
    Linux & macOS
    aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
    Windows
    aws iam attach-role-policy ^
    --role-name SSMServiceRole ^
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess

    (Facoltativo) Esegui il comando seguente per consentire all' CloudWatch agente di funzionare sui tuoi nodi gestiti. Questo comando consente di leggere le informazioni su un nodo e scriverle su CloudWatch. Il tuo profilo di servizio necessita di questa politica solo se utilizzerai servizi come Amazon EventBridge o Amazon CloudWatch Logs.

    aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
Tools for PowerShell
Per creare un ruolo IAM di servizio per un ambiente ibrido e multicloud ()AWS Tools for Windows PowerShell

  1. Installa e configura AWS Tools for PowerShell (Strumenti per Windows PowerShell), se non l'hai già fatto.

    Per informazioni, consulta la pagina Installazione di AWS Tools for PowerShell.

  2. Creare un file di testo con un nome, ad esempio SSMService-Trust.json con la seguente policy di attendibilità. Salvare il file con l'estensione .json. Assicurati di specificare il tuo Account AWS e il Regione AWS nel punto in ARN cui hai creato l'attivazione ibrida.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"",
         "Effect":"Allow",
         "Principal":{
            "Service":"ssm.amazonaws.com"
         },
         "Action":"sts:AssumeRole",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"123456789012"
            },
            "ArnEquals":{
               "aws:SourceArn":"arn:aws:ssm:region:123456789012:*"
            }
         }
      }
   ]
}

  3. Apri PowerShell in modalità amministrativa e nella directory in cui hai creato il JSON file, esegui New- IAMRole come segue per creare un ruolo di servizio. Questo esempio crea un ruolo denominato SSMServiceRole. È possibile scegliere un nome diverso.

    New-IAMRole `
    -RoleName SSMServiceRole `
    -AssumeRolePolicyDocument (Get-Content -raw SSMService-Trust.json)

  4. Usa Register- IAMRolePolicy come segue per consentire al ruolo di servizio che hai creato di creare un token di sessione. Il token della sessione concede al nodo gestito l'autorizzazione di eseguire comandi utilizzando Systems Manager.

    Nota

    Le politiche che aggiungi per un profilo di servizio per i nodi gestiti in un ambiente ibrido e multicloud sono le stesse politiche utilizzate per creare un profilo di istanza per EC2 le istanze. Per ulteriori informazioni sulle AWS politiche utilizzate nei seguenti comandi, vedere Configurazione delle autorizzazioni di istanza richieste per Systems Manager.

    (Obbligatorio) Esegui il comando seguente per consentire a un nodo gestito di utilizzare le funzionalità AWS Systems Manager di base del servizio.

    Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

    Se hai creato una policy personalizzata per il bucket S3 per il tuo ruolo di servizio, esegui il comando seguente per consentire SSM Agent per accedere ai bucket specificati nella policy. Replace (Sostituisci) account-id e my-bucket-policy-name con il tuo Account AWS ID e il nome del tuo bucket. 

    Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::account-id:policy/my-bucket-policy-name

    (Facoltativo) Esegui il seguente comando per consentire SSM Agent per accedere per tuo AWS Directory Service conto alle richieste di aggiunta al dominio da parte del nodo gestito. Il ruolo del server necessita di questa policy solo se aggiungi i nodi a una directory Microsoft AD.

    Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess

    (Facoltativo) Esegui il comando seguente per consentire all' CloudWatch agente di funzionare sui tuoi nodi gestiti. Questo comando consente di leggere le informazioni su un nodo e scriverle su CloudWatch. Il tuo profilo di servizio necessita di questa politica solo se utilizzerai servizi come Amazon EventBridge o Amazon CloudWatch Logs.

    Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy

Continua su Crea un'attivazione ibrida per registrare i nodi con Systems Manager.