AWSSupport-ResetLinuxUserPassword - AWS Systems Manager オートメーションランブックリファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSSupport-ResetLinuxUserPassword

説明

AWSSupport-ResetLinuxUserPassword ランブックは、ローカルオペレーティングシステム (OS) ユーザーのパスワードをリセットするのに役立ちます。このランブックは、シリアルコンソールを使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアクセスする必要があるユーザーにとって特に役立ちます。ランブックは、 に一時的な Amazon EC2インスタンス AWS アカウント を作成し、パスワードを含む AWS Secrets Manager シークレット値を取得するアクセス許可を持つ AWS Identity and Access Management (IAM) ロールを作成します。

ランブックはターゲット Amazon EC2インスタンスを停止し、ルート Amazon Elastic Block Store (Amazon EBS) ボリュームをデタッチして、一時的な Amazon EC2インスタンスにアタッチします。Run Command を使用すると、一時インスタンス上でスクリプトが実行され、指定した OS ユーザーのパスワードが設定されます。次に、ルート Amazon EBSボリュームがターゲットインスタンスに再アタッチされます。ランブックには、自動化の開始時にルートボリュームのスナップショットを作成するオプションも用意されています。

開始する前に

OS ユーザーに割り当てるパスワードの値を使用して Secrets Manager シークレットを作成します。値はプレーンテキストである必要があります。詳細については、「AWS Secrets Manager ユーザーガイド」の「AWS Secrets Manager シークレットを作成する」を参照してください。

考慮事項

  • このランブックを使用する前にインスタンスをバックアップすることをおすすめします。CreateSnapshot パラメータの値を Yes として設定することを検討してください。

  • ローカルユーザーパスワードを変更すると、ランブックでインスタンスを停止する必要があります。インスタンスが停止すると、メモリまたはインスタンスストアボリュームに保存されているすべてのデータは失われます。また、自動的に割り当てられたパブリックIPv4アドレスは解放されます。インスタンスを停止するとどうなるかの詳細については、「Amazon ユーザーガイド」の「インスタンスの停止と起動」を参照してください。 EC2

  • ターゲットの Amazon EC2インスタンスにアタッチされた Amazon EBSボリュームがカスタマーマネージド AWS Key Management Service (AWS KMS) キーで暗号化されている場合は、 AWS KMS キーが deletedまたは でないか、インスタンスの起動に失敗disabledします。

このオートメーションを実行する (コンソール)

ドキュメントタイプ

Automation

[所有者]

Amazon

[Platforms] (プラットフォーム)

Linux

パラメータ

  • AutomationAssumeRole

    型: 文字列

    説明: (オプションARN) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする () ロールの AWS Identity and Access Management Amazon リソースネーム (IAM)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。

  • InstanceId

    型: 文字列

    説明: (必須) リセットする OS ユーザーパスワードを含む Amazon EC2 Linux インスタンスの ID。

  • LinuxUserName

    型: 文字列

    デフォルト: ec2-ユーザー

    説明: (オプション) パスワードをリセットする OS ユーザーアカウント。

  • SecretArn

    型: 文字列

    説明: (必須) 新しいパスワードを含む ARN Secrets Manager シークレットの 。

  • SecurityGroupId

    型: 文字列

    説明: (オプション) 一時的な Amazon EC2インスタンスにアタッチするセキュリティグループの ID。このパラメータに値を指定しない場合、デフォルトの Amazon Virtual Private Cloud (Amazon VPC) セキュリティグループが使用されます。

  • SubnetId

    型: 文字列

    説明: (オプション) Amazon EC2一時インスタンスを起動するサブネットの ID。デフォルトでは、自動化はターゲットインスタンスと同じサブネットを選択します。別のサブネットを指定する場合は、そのサブネットはターゲットインスタンスと同じアベイラビリティーゾーンに存在し、Systems Manager エンドポイントにアクセスできる必要があります。

  • CreateSnapshot

    型: 文字列

    有効な値: はい | いいえ

    デフォルト: Yes

    説明: (オプション) オートメーションを実行する前に、ターゲット Amazon EC2インスタンスのルートボリュームのスナップショットを作成するかどうかを決定します。

  • StopConsent

    型: 文字列

    有効な値: はい | いいえ

    デフォルト: いいえ

    説明: Yesを入力して、このオートメーション中にターゲット Amazon EC2インスタンスが停止することを確認します。Amazon EC2インスタンスが停止すると、メモリまたはインスタンスストアボリュームに保存されているデータはすべて失われ、自動パブリックIPv4アドレスが解放されます。詳細については、「Amazon ユーザーガイド」の「インスタンスの停止と起動」を参照してください。 EC2

必要なIAMアクセス許可

AutomationAssumeRole パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。

  • ssm:DescribeInstanceInformation

  • ssm:ListTagsForResource

  • ssm:SendCommand

  • ec2:AttachVolume

  • ec2:CreateSnapshot

  • ec2:CreateSnapshots

  • ec2:CreateVolume

  • ec2:DescribeImages

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeSnapshotAttribute

  • ec2:DescribeSnapshots

  • ec2:DescribeSnapshotTierStatus

  • ec2:DescribeVolumes

  • ec2:DescribeVolumeStatus

  • ec2:DetachVolume

  • ec2:RunInstances

  • ec2:StartInstances

  • ec2:StopInstances

  • ec2:TerminateInstances

  • cloudformation:CreateStack

  • cloudformation:DeleteStack

  • cloudformation:DescribeStackResource

  • cloudformation:DescribeStacks

  • cloudformation:ListStacks

  • logs:CreateLogDelivery

  • logs:CreateLogGroup

  • logs:DeleteLogDelivery

  • logs:DeleteLogGroup

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:PutLogEvents

ドキュメントステップ

  1. aws:branch – ターゲット Amazon EC2インスタンスの停止に同意したかどうかに基づいて分岐します。

  2. aws:assertAwsResourceProperty — Amazon EC2インスタンスのステータスが runningまたは stopped状態であることを確認します。それ以外の場合、自動化は終了します。

  3. aws:executeAwsApi – Amazon EC2インスタンスのプロパティを取得します。

  4. aws:executeAwsApi – ルートボリュームのプロパティを取得します。

  5. aws:branch – 一時的な Amazon EC2インスタンスのサブネット ID が提供されたかどうかに応じて、オートメーションを分岐させます。

  6. aws:assertAwsResourcePropertySubnetIdパラメータで指定したサブネットが、ターゲット Amazon EC2インスタンスと同じアベイラビリティーゾーンにあることを確認します。

  7. aws:assertAwsResourceProperty— ターゲット Amazon EC2インスタンスのルートボリュームが Amazon EBSボリュームであることを確認します。

  8. aws:assertAwsResourceProperty — Amazon EC2インスタンスアーキテクチャが arm64または であることを確認しますx86_64

  9. aws:assertAwsResourceProperty — Amazon EC2インスタンスのシャットダウン動作が stopではなく であることを確認しますterminate

  10. aws:branch — Amazon EC2インスタンスがスポットインスタンスではないことを確認します。それ以外の場合、自動化は終了します。

  11. aws:executeScript — Amazon EC2インスタンスが Auto Scaling グループの一部ではないことを確認します。インスタンスが Auto Scaling グループの一部である場合、オートメーションは Amazon EC2インスタンスがStandbyライフサイクル状態であることを確認します。

  12. aws:createStack – 指定した OS ユーザーのパスワードをリセットするために使用される一時的な Amazon EC2インスタンスを作成します。

  13. aws:waitForAwsResourceProperty – 新しく起動された一時 Amazon EC2インスタンスが実行されるまで待ちます。

  14. aws:executeAwsApi – 一時的な Amazon EC2インスタンスの ID を取得します。

  15. aws:waitForAwsResourceProperty – 一時的な Amazon EC2インスタンスが Systems Manager によって管理されている としてレポートされるのを待ちます。

  16. aws:changeInstanceState– ターゲット Amazon EC2インスタンスを停止します。

  17. aws:changeInstanceState — ターゲット Amazon EC2インスタンスが停止状態で停止した場合、ターゲット Amazon インスタンスを強制的に停止させます。

  18. aws:branch – ターゲット Amazon EC2インスタンスのルートボリュームのスナップショットがリクエストされたかどうかに応じて、オートメーションを分岐させます。

  19. aws:executeAwsApi – ターゲット Amazon EC2インスタンスのルート Amazon EBSボリュームのスナップショットを作成します。

  20. aws:waitForAwsResourceProperty – スナップショットが completed状態になるまで待ちます。

  21. aws:executeAwsApi – ターゲット Amazon EC2インスタンスから Amazon EBSルートボリュームをデタッチします。

  22. aws:waitForAwsResourceProperty — Amazon EBSルートボリュームがターゲット Amazon EC2インスタンスからデタッチされるのを待ちます。

  23. aws:executeAwsApi — ルート Amazon EBSボリュームを一時的な Amazon EC2インスタンスにアタッチします。

  24. aws:waitForAwsResourceProperty — Amazon EBSルートボリュームが一時的な Amazon EC2インスタンスにアタッチされるのを待ちます。

  25. aws:runCommand – 一時的な Amazon EC2インスタンスで Run Command を使用してシェルスクリプトを実行することで、ターゲットユーザーのパスワードをリセットします。

  26. aws:executeAwsApi – 一時的な Amazon EC2インスタンスから Amazon EBSルートボリュームをデタッチします。

  27. aws:waitForAwsResourceProperty — Amazon EBSルートボリュームが一時的な Amazon EC2インスタンスからデタッチされるのを待ちます。

  28. aws:executeAwsApi – エラー発生後に一時的な Amazon EC2インスタンスから Amazon EBSルートボリュームをデタッチします。

  29. aws:waitForAwsResourceProperty – エラー発生後、Amazon EBSルートボリュームが一時的な Amazon EC2インスタンスからデタッチされるのを待ちます。

  30. aws:branch - エラーが発生した場合にリカバリパスを決定するためにルートボリュームのスナップショットがリクエストされたかどうかに応じて、オートメーションを分岐させます。

  31. aws:executeAwsApi — ルート Amazon EBSボリュームをターゲット Amazon EC2インスタンスに再アタッチします。

  32. aws:waitForAwsResourceProperty — Amazon EBSルートボリュームが Amazon EC2インスタンスにアタッチされるのを待ちます。

  33. aws:executeAwsApi – ターゲット Amazon EC2インスタンスのルートEBSボリュームスナップショットから新しい Amazon ボリュームを作成します。

  34. aws:waitForAwsResourceProperty — 新しい Amazon EBSボリュームが available状態になるまで待ちます。

  35. aws:executeAwsApi — 新しい Amazon EBSボリュームをルートボリュームとしてターゲットインスタンスにアタッチします。

  36. aws:waitForAwsResourceProperty — Amazon EBSボリュームが attached状態になるまで待ちます。

  37. aws:executeAwsApi – ランブックが AWS CloudFormation スタックの作成または更新に失敗した場合の AWS CloudFormation スタックイベントについて説明します。

  38. aws:branch – 以前の Amazon EC2インスタンスの状態に応じてオートメーションを分岐させます。状態が running の場合、インスタンスは起動されます。stopped 状態であった場合、自動化は続行されます。

  39. aws:changeInstanceState – 必要に応じて Amazon EC2インスタンスを起動します。

  40. aws:waitForAwsResourceProperty — AWS CloudFormation スタックがターミナルステータスになるまで待ってから、 を削除します。

  41. aws:executeAwsApi – 一時的な Amazon EC2インスタンスを含む AWS CloudFormation スタックを削除します。