Esegui un'automazione che richiede approvazioni - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esegui un'automazione che richiede approvazioni

Le seguenti procedure descrivono come utilizzare la AWS Systems Manager console e AWS Command Line Interface (AWS CLI) eseguire un'automazione con approvazioni utilizzando un'esecuzione semplice. L'automazione usa l'operazione di automazione aws:approve, che sospende temporaneamente l'automazione finché i principali designati non approvano o rifiutano l'operazione. L'automazione viene eseguita nel contesto dell'utente corrente. Ciò significa che non è necessario configurare IAM autorizzazioni aggiuntive purché si disponga dell'autorizzazione per utilizzare il runbook e tutte le azioni richiamate dal runbook. Se disponi dei permessi di amministratoreIAM, allora hai già il permesso di usare questo runbook.

Prima di iniziare

Oltre agli input standard necessari per il runbook, l'operazione aws:approve richiede questi due parametri:

  • un elenco di approvatori. L'elenco degli approvatori deve contenere almeno un approvatore sotto forma di nome utente o utente. ARN Se vengono specificati più approvatori, all'interno del runbook deve essere specificato anche un numero minimo di approvazioni corrispondenti.

  • Un argomento di Amazon Simple Notification Service (AmazonSNS)ARN. Il nome dell'SNSargomento Amazon deve iniziare conAutomation.

Questa procedura presuppone che tu abbia già creato un SNS argomento Amazon, necessario per recapitare la richiesta di approvazione. Per ulteriori informazioni, consulta la pagina Create a Topic (Creazione di un argomento) nella Guida per gli sviluppatori di Amazon Simple Notification Service.

Esecuzione di un'automazione con approvatori (console)

Per eseguire un'automazione con approvatori

La procedura seguente descrive come utilizzare la console di Systems Manager per eseguire un'automazione con approvatori.

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel pannello di navigazione, scegliere Automation (Automazione), quindi Execute automation (Esegui automazione).

  3. Nell'elenco Automation document (Documento di automazione), scegliere un runbook. Scegliete una o più opzioni nel riquadro Categorie di documenti per filtrare SSM i documenti in base al loro scopo. Per visualizzare un runbook di cui si è proprietari, scegliere la scheda Owned by me (Posseduta da me). Per visualizzare un runbook condiviso con l'account, scegliere la scheda Shared with me (Condiviso con me). Per visualizzare tutti i runbook, scegliere la scheda All documents (Tutti i documenti).

    Nota

    È possibile visualizzare informazioni su un runbook scegliendo il nome del runbook.

  4. Nella sezione Document details (Dettagli documento) verifica che l'opzione Document version (Versione documento) sia impostata sulla versione che si desidera eseguire. Il sistema include le seguenti opzioni di versione:

    • Versione predefinita al runtime: scegli questa opzione se il runbook di Automazione viene aggiornato periodicamente e viene assegnata una nuova versione predefinita.

    • Ultima versione al runtime: scegli questa opzione se il runbook di automazione viene aggiornato periodicamente e si desidera che venga eseguita la versione aggiornata più di recente.

    • 1 (predefinita): scegli questa opzione per eseguire la prima versione del documento (quella predefinita).

  5. Scegliere Next (Successivo).

  6. Nella pagina Execute automation document (Esegui documento di automazione), scegliere Simple execution (Esecuzione semplice).

  7. Nella sezione Input parameters (Parametri di input), specifica i parametri di input obbligatori.

    Ad esempio, se avete scelto il AWS-StartEC2InstanceWithApproval runbook, dovete specificare o scegliere l'istanza IDs per il InstanceIdparametro.

  8. Nella sezione Approvatori, specificate i nomi utente o l'utente degli approvatori per l'ARNsazione di automazione.

  9. Nella SNSTopicARNsezione, specifica l'SNSargomento da utilizzare ARN per l'invio della notifica di approvazione. Il nome dell'SNSargomento deve iniziare con Automazione.

  10. Facoltativamente, è possibile scegliere un ruolo IAM di servizio dall'AutomationAssumeRoleelenco. Se hai come destinazione più di 100 account e regioni, devi specificare AWS-SystemsManager-AutomationAdministrationRole.

  11. Scegliere Execute automation (Esegui automazione).

L'approvatore specificato riceve una SNS notifica Amazon con i dettagli per approvare o rifiutare l'automazione. Questa azione di approvazione è valida per 7 giorni dalla data di emissione e può essere emessa utilizzando la console Systems Manager o il AWS Command Line Interface (AWS CLI).

Se si sceglie di approvarla, l'automazione continua a eseguire le fasi incluse nel runbook specificato. La console visualizza lo stato dell'automazione. Se l'automazione non riesce, consulta Risoluzione dei problemi dl servizio di automazione di Systems Manager.

Per approvare o rifiutare un servizio di automazione
  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel pannello di navigazione, scegliere Automation (Automazione), quindi selezionare l'automazione eseguita nella procedura precedente.

  3. Scegli Actions (Operazioni), quindi Approve/Deny (Approva/Rifiuta).

  4. Scegli Approve (Approva) o Deny (Nega) e, facoltativamente, aggiungere un commento.

  5. Scegli Submit (Invia).

Esecuzione di un'automazione con approvatori (riga di comando)

La procedura seguente descrive come utilizzare AWS CLI (su Linux o Windows) o AWS Tools for PowerShell eseguire un'automazione con approvatori.

Per eseguire un'automazione con approvatori
  1. Installa e configura il AWS CLI o il AWS Tools for PowerShell, se non l'hai già fatto.

    Per informazioni, consulta le pagine Installazione o aggiornamento della versione più recente di AWS CLI e Installazione di AWS Tools for PowerShell.

  2. Esegui il seguente comando per eseguire un'automazione con approvatori. Sostituisci ciascuno example resource placeholder con le tue informazioni. Nella sezione del nome del documento, specifica un runbook che includa l'operazione di automazione aws:approve.

    PerApprovers, specifica i nomi utente o l'utente ARNs degli approvatori per l'azione. PerSNSTopic, specifica l'SNSargomento ARN da utilizzare per inviare la notifica di approvazione. Il nome dell'SNSargomento Amazon deve iniziare conAutomation.

    Nota

    I nomi specifici dei valori dei parametri per gli approvatori e l'SNSargomento dipendono dai valori specificati nel runbook scelto.

    Linux & macOS
    aws ssm start-automation-execution \ --document-name "AWS-StartEC2InstanceWithApproval" \ --parameters "InstanceId=i-02573cafcfEXAMPLE,Approvers=arn:aws:iam::123456789012:role/Administrator,SNSTopicArn=arn:aws:sns:region:123456789012:AutomationApproval"
    Windows
    aws ssm start-automation-execution ^ --document-name "AWS-StartEC2InstanceWithApproval" ^ --parameters "InstanceId=i-02573cafcfEXAMPLE,Approvers=arn:aws:iam::123456789012:role/Administrator,SNSTopicArn=arn:aws:sns:region:123456789012:AutomationApproval"
    PowerShell
    Start-SSMAutomationExecution ` -DocumentName AWS-StartEC2InstanceWithApproval ` -Parameters @{ "InstanceId"="i-02573cafcfEXAMPLE" "Approvers"="arn:aws:iam::123456789012:role/Administrator" "SNSTopicArn"="arn:aws:sns:region:123456789012:AutomationApproval" }

    Il sistema restituisce informazioni simili alle seguenti.

    Linux & macOS
    {
        "AutomationExecutionId": "df325c6d-b1b1-4aa0-8003-6cb7338213c6"
    }
    Windows
    {
        "AutomationExecutionId": "df325c6d-b1b1-4aa0-8003-6cb7338213c6"
    }
    PowerShell
    df325c6d-b1b1-4aa0-8003-6cb7338213c6
Per approvare un'automazione
  • Utilizza il comando seguente per approvare un'automazione. Sostituisci ciascuno example resource placeholder con le tue informazioni.

    Linux & macOS
    aws ssm send-automation-signal \ --automation-execution-id "df325c6d-b1b1-4aa0-8003-6cb7338213c6" \ --signal-type "Approve" \ --payload "Comment=your comments"
    Windows
    aws ssm send-automation-signal ^ --automation-execution-id "df325c6d-b1b1-4aa0-8003-6cb7338213c6" ^ --signal-type "Approve" ^ --payload "Comment=your comments"
    PowerShell
    Send-SSMAutomationSignal ` -AutomationExecutionId df325c6d-b1b1-4aa0-8003-6cb7338213c6 ` -SignalType Approve ` -Payload @{"Comment"="your comments"}

    Se il comando va a buon fine, non viene generato output.

Per rifiutare un'automazione
  • Utilizza il comando seguente per rifiutare un'automazione. Sostituisci ciascuno example resource placeholder con le tue informazioni.

    Linux & macOS
    aws ssm send-automation-signal \ --automation-execution-id "df325c6d-b1b1-4aa0-8003-6cb7338213c6" \ --signal-type "Deny" \ --payload "Comment=your comments"
    Windows
    aws ssm send-automation-signal ^ --automation-execution-id "df325c6d-b1b1-4aa0-8003-6cb7338213c6" ^ --signal-type "Deny" ^ --payload "Comment=your comments"
    PowerShell
    Send-SSMAutomationSignal ` -AutomationExecutionId df325c6d-b1b1-4aa0-8003-6cb7338213c6 ` -SignalType Deny ` -Payload @{"Comment"="your comments"}

    Se il comando va a buon fine, non viene generato output.