AWSSupport-ResetLinuxUserPassword - AWS Systems Manager Referência do runbook de automação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSSupport-ResetLinuxUserPassword

Descrição

O runbook AWSSupport-ResetLinuxUserPassword ajuda você a redefinir a senha de um usuário do sistema operacional (SO) local. Este runbook é especialmente útil para usuários que precisam acessar as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) usando o console de série. O runbook cria uma instância temporária do Amazon EC2 em Conta da AWS sua função e AWS Identity and Access Management uma função (IAM) com permissões para recuperar AWS Secrets Manager um valor secreto contendo a senha.

O runbook interrompe a instância do Amazon EC2 de destino, separa o volume raiz do Amazon Elastic Block Store (Amazon EBS) e o anexa à instância temporária do Amazon EC2. Usando o comando Executar, um script é executado na instância temporária para definir a senha do usuário do sistema operacional que você especificar. Em seguida, o volume raiz do Amazon EBS é reconectado à sua instância de destino. O runbook também oferece uma opção para criar um snapshot do volume raiz no início da automação.

Antes de começar

Crie um segredo do Secrets Manager com o valor da senha que você deseja atribuir ao usuário do sistema operacional. O valor deve estar em texto sem formatação. Para obter mais informações, consulte Criar um segredo do AWS Secrets Manager no Guia do usuário do AWS Secrets Manager .

Considerações

  • Recomendamos fazer backup da sua instância antes de usar este runbook. Considere definir o valor do parâmetro CreateSnapshot como Yes.

  • A alteração da senha do usuário local exige que o runbook interrompa sua instância. Quando uma instância é interrompida, os dados armazenados na memória ou nos volumes de armazenamento da instância são perdidos. Além disso, todos os endereços IPv4 públicos atribuídos automaticamente são liberados. Para obter mais informações sobre o que acontece quando você interrompe uma instância, consulte Pare e inicie sua instância no Guia do usuário do Amazon EC2.

  • Se os volumes do Amazon EBS anexados à sua instância de destino do Amazon EC2 forem criptografados com uma chave AWS Key Management Service gerenciada pelo cliente AWS KMS(), certifique-se de que AWS KMS a chave deleted não seja disabled ou sua instância não iniciará.

Execute esta automação (console)

Tipo de documento

Automação

Proprietário

Amazon

Plataformas

Linux

Parâmetros

  • AutomationAssumeRole

    Tipo: String

    Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.

  • InstanceId

    Tipo: sequência

    Descrição: (obrigatório) o ID da instância Linux do Amazon EC2 que contém a senha de usuário do OS que você deseja redefinir.

  • LinuxUserNome

    Tipo: sequência

    Padrão: ec2-user

    Descrição: (opcional) a conta de usuário do sistema operacional cuja senha você deseja redefinir.

  • SecretArn

    Tipo: sequência

    Descrição: (obrigatório) o ARN do segredo do Secrets Manager contendo a nova senha.

  • SecurityGroupIdentificação

    Tipo: sequência

    Descrição: (opcional) o ID do grupo de segurança a ser anexado a uma instância temporária do Amazon EC2. Se você não fornecer um valor para esse parâmetro, o grupo de segurança padrão da Amazon Virtual Private Cloud (Amazon VPC) é usado.

  • SubnetId

    Tipo: sequência

    Descrição: (opcional) o ID da sub-rede na qual você deseja iniciar a instância temporária do Amazon EC2. Por padrão, a automação escolhe a mesma sub-rede da sua instância de destino. Se você optar por fornecer uma sub-rede diferente, ela deve estar na mesma zona de disponibilidade da instância de destino e ter acesso aos endpoints do Systems Manager.

  • CreateSnapshot

    Tipo: sequência

    Valores válidos: sim | não

    Padrão: sim

    Descrição: (opcional) determina se um snapshot do volume raiz da sua instância de destino do Amazon EC2 é criado antes da execução da automação.

  • StopConsent

    Tipo: sequência

    Valores válidos: sim | não

    Padrão: não

    Descrição: Digite Yes para confirmar que sua instância de destino do Amazon EC2 será interrompida durante essa automação. Quando a instância do Amazon EC2 é interrompida, todos os dados armazenados na memória ou nos volumes de armazenamento de instância são perdidos e o endereço IPv4 público automático é liberado. Para obter mais informações, consulte Encerrar e iniciar sua instância no Guia do Usuário do Amazon EC2.

Permissões obrigatórias do IAM

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

  • ssm:DescribeInstanceInformation

  • ssm:ListTagsForResource

  • ssm:SendCommand

  • ec2:AttachVolume

  • ec2:CreateSnapshot

  • ec2:CreateSnapshots

  • ec2:CreateVolume

  • ec2:DescribeImages

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeSnapshotAttribute

  • ec2:DescribeSnapshots

  • ec2:DescribeSnapshotTierStatus

  • ec2:DescribeVolumes

  • ec2:DescribeVolumeStatus

  • ec2:DetachVolume

  • ec2:RunInstances

  • ec2:StartInstances

  • ec2:StopInstances

  • ec2:TerminateInstances

  • cloudformation:CreateStack

  • cloudformation:DeleteStack

  • cloudformation:DescribeStackResource

  • cloudformation:DescribeStacks

  • cloudformation:ListStacks

  • logs:CreateLogDelivery

  • logs:CreateLogGroup

  • logs:DeleteLogDelivery

  • logs:DeleteLogGroup

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:PutLogEvents

Etapas do documento

  1. aws:branch: ramifica com base no seu fornecimento de consentimento para interromper a instância de destino do Amazon EC2.

  2. aws:assertAwsResourceProperty garante que o status da instância do Amazon EC2 esteja em um estado running ou stopped. Caso contrário, a automação termina.

  3. aws:executeAwsApi obtém as propriedades da instância do Amazon EC2.

  4. aws:executeAwsApi obtém as propriedades do volume raiz.

  5. aws:branch ramifica a automação dependendo se um ID de sub-rede para a instância temporária do Amazon EC2 foi fornecido.

  6. aws:assertAwsResourceProperty garante que a sub-rede que você especifica no parâmetro SubnetId esteja na mesma zona de disponibilidade da instância do Amazon EC2 de destino.

  7. aws:assertAwsResourceProperty garante que o volume raiz da instância do Amazon EC2 de destino é um volume do Amazon EBS.

  8. aws:assertAwsResourceProperty garante que a arquitetura da instância do Amazon EC2 seja arm64 ou x86_64.

  9. aws:assertAwsResourceProperty garante que o comportamento de desligamento da instância do Amazon EC2 seja stop, e não terminate.

  10. aws:branch garante que a instância do Amazon EC2 não seja uma instância spot. Caso contrário, a automação termina.

  11. aws:executeScript garante que a instância do Amazon EC2 não faça parte de um grupo do Auto Scaling. Se a instância fizer parte de um grupo do Auto Scaling, a automação confirma que a instância do Amazon EC2 está em um estado de ciclo de vida Standby.

  12. aws:createStack cria uma instância temporária do Amazon EC2 que é usada para redefinir a senha do usuário do OS que você especificar.

  13. aws:waitForAwsResourceProperty espera até que a instância temporária recém-iniciada do Amazon EC2 esteja em execução.

  14. aws:executeAwsApi obtém o ID da instância temporária do Amazon EC2.

  15. aws:waitForAwsResourceProperty espera que a instância temporária do Amazon EC2 reporte como gerenciada pelo Systems Manager.

  16. aws:changeInstanceState interrompe a instância de destino do Amazon EC2.

  17. aws:changeInstanceState força a instância de destino do Amazon EC2 a parar caso ela fique presa em um estado de parada.

  18. aws:branch ramifica a automação dependendo se um snapshot do volume raiz da instância de destino do Amazon EC2 foi solicitado.

  19. aws:executeAwsApi cria um snapshot do volume raiz do Amazon EBS de destino da instância do Amazon EC2.

  20. aws:waitForAwsResourceProperty espera que o instantâneo esteja em um estado completed.

  21. aws:executeAwsApi separa o volume raiz do Amazon EBS da instância do Amazon EC2.

  22. aws:waitForAwsResourceProperty espera que o volume raiz do Amazon EBS seja separado da instância de destino do Amazon EC2.

  23. aws:executeAwsApi anexa o volume raiz do Amazon EBS à instância temporária do Amazon EC2.

  24. aws:waitForAwsResourceProperty espera que o volume raiz do Amazon EBS seja anexado à instância temporária do Amazon EC2.

  25. aws:runCommand redefine a senha do usuário de destino executando um script de shell usando o comando executar na instância temporária do Amazon EC2.

  26. aws:executeAwsApi separa o volume raiz do Amazon EBS da instância temporária do Amazon EC2.

  27. aws:waitForAwsResourceProperty espera que o volume raiz do Amazon EBS seja separado da instância temporária do Amazon EC2.

  28. aws:executeAwsApi separa o volume raiz do Amazon EBS da instância temporária do Amazon EC2 após um erro.

  29. aws:waitForAwsResourceProperty espera que o volume raiz do Amazon EBS seja separado da instância temporária do Amazon EC2 após um erro.

  30. aws:branch ramifica a automação dependendo se um instantâneo do volume raiz foi solicitado para determinar o caminho de recuperação em caso de erro.

  31. aws:executeAwsApi reconecta o volume raiz do Amazon EBS à instância do Amazon EC2 de destino.

  32. aws:waitForAwsResourceProperty espera que o volume raiz do Amazon EBS seja anexado à instância do Amazon EC2.

  33. aws:executeAwsApi cria um novo volume do Amazon EBS a partir do instantâneo do volume raiz da instância do Amazon EC2 de destino.

  34. aws:waitForAwsResourceProperty espera até que o novo volume do Amazon EBS esteja em um estado available.

  35. aws:executeAwsApi anexa o novo volume do Amazon EBS à instância de destino como volume raiz.

  36. aws:waitForAwsResourceProperty espera que o volume do Amazon EBS esteja em um estado attached.

  37. aws:executeAwsApiDescreve os eventos da AWS CloudFormation pilha se os runbooks falharem ao criar ou atualizar a AWS CloudFormation pilha.

  38. aws:branch ramifica a automação de acordo com o estado anterior da instância do Amazon EC2. Se o estado foi running, a instância será iniciada. Se estivesse em um estado stopped, a automação continua.

  39. aws:changeInstanceState inicia a instância do Amazon EC2, se necessário.

  40. aws:waitForAwsResourcePropertyEspera até que a AWS CloudFormation pilha esteja em um status de terminal antes de excluí-la.

  41. aws:executeAwsApiExclui a AWS CloudFormation pilha, incluindo a instância temporária do Amazon EC2.