AWSSupport-ResetAccess - AWS Systems Manager Referência do runbook de automação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSSupport-ResetAccess

Descrição

Este runbook usará a ferramenta EC2Rescue na instância do EC2 especificada para habilitar novamente a descriptografia de senha por meio do console do EC2 (Windows) ou para gerar e adicionar um novo par de chaves SSH (Linux). Se você perder o par de chaves, essa automação criará uma AMI com senha que você pode usar para iniciar uma nova instância do EC2 com um par de chaves que você possui (Windows).

Execute esta automação (console)

Tipo de documento

Automation

Proprietário

Amazon

Plataformas

Linux, macOS, Windows

Parâmetros

  • AutomationAssumeRole

    Tipo: sequência

    Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.

  • EC2RescueInstanceType

    Tipo: sequência

    Valores permitidos: t2.small | t2.medium | t2.large

    Padrão: t2.small

    Descrição: (obrigatório) o tipo de instância do EC2 para a instância EC2Rescue. Tamanho recomendado: t2.small.

  • InstanceId

    Tipo: sequência

    Descrição: (obrigatório) o ID da instância do EC2 para a qual você deseja redefinir acesso.

    Importante

    O Systems Manager Automation interrompe essa instância e cria uma AMI antes de tentar qualquer operação. Dados armazenados em volumes de armazenamento de instâncias serão perdidos. O endereço IP público será alterado se você não estiver usando um IP elástico.

  • SubnetId

    Tipo: sequência

    Padrão: CreateNewVPC

    Descrição: (Opcional) O ID de sub-rede para a instância EC2Rescue. Por padrão, a Systems Manager Automation cria uma nova VPC. Como alternativa, Use SelectedInstanceSubnet para usar a mesma sub-rede que sua instância ou especifique um ID de sub-rede personalizado

    Importante

    A sub-rede deve estar na mesma zona de disponibilidade que o InstanceId, e deve permitir acesso aos endpoints SSM.

Permissões obrigatórias do IAM

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

Você deve ter pelo menos ssm:StartAutomationExecution, ssm:GetParameter (para recuperar o nome do parâmetro da chave SSH) e ssm:GetAutomationExecution para ler a saída de automação. Para mais informações sobre as permissões necessárias, consulte AWSSupport-StartEC2RescueWorkflow.

Etapas do documento

  1. aws:assertAwsResourceProperty: declara se a instância fornecida é Windows.

    1. (EC2Rescue para Windows) Se a instância fornecida for Windows:

      1. aws:executeAutomation: invoca AWSSupport-StartEC2RescueWorkflow com o script de redefinição de senha offline do EC2Rescue para Windows

      2. aws:executeAwsApi: recupera o ID AMI de backup da automação aninhada.

      3. aws:executeAwsApi: recupera o ID AMI com senha habilitada da automação aninhada

      4. aws:executeAwsApi: recupera o resumo do EC2Rescue da automação aninhada

    2. (EC2Rescue para Linux) Se a instância fornecida for Linux:

      1. aws:executeAutomation: invoca AWSSupport-StartEC2RescueWorkflow com o script de injeção de chave SSH offline do EC2Rescue para Linux

      2. aws:executeAwsApi: recupera o ID AMI de backup da automação aninhada.

      3. aws:executeAwsApi: recupera o nome do parâmetro SSM para a chave SSH injetada

      4. aws:executeAwsApi: recupera o resumo do EC2Rescue da automação aninhada

Saídas

getEC2RescueForWindowsResult.Output

getWindowsBackupAmi.ImageId

getWindowsPasswordEnabledAmi.ImageId

getEC2RescueForLinuxResult.Output

getLinuxBackupAmi.ImageId

getLinuxSSHKeyParameter.Name