Tarefa 1: Criar uma política de função assumida para Change Manager Tarefa 2: Criando uma função assumida para Change Manager Tarefa 3: Anexar a política iam:PassRole a outras funções Tarefa 4: Adicionar políticas em linha a um papel assumido para invocar outros Serviços da AWS Tarefa 5: Configurar o acesso do usuário para Change Manager

Configurar perfis e permissões para o Change Manager

Por padrão, o Change Manager não tem permissão para executar ações em suas instâncias. Você deve conceder acesso usando uma AWS Identity and Access ManagementFunção de serviço (IAM) ou Função assumida. Essa função permite Change Manager executar com segurança os fluxos de trabalho de runbook especificados em uma solicitação de alteração aprovada em seu nome. Essa função concede a AWS Security Token Service (AWS STS) AssumeRole (Função assuida) de Change Manager.

Ao fornecer essas permissões a uma função para agir em nome de usuários em uma organização, os usuários não precisam receber essa matriz de permissões. As ações permitidas pelas permissões são limitadas apenas a operações aprovadas.

Quando os usuários em sua conta ou organização criam uma solicitação de alteração, eles podem selecionar essa função para realizar as operações de alteração.

Você pode criar uma nova função assumida para Change Manager ou atualizar uma função existente com as permissões necessárias.

Se você precisar criar uma função de serviço para o Change Manager, conclua as tarefas a seguir.

Tarefas

Tarefa 1: Criar uma política de função assumida para Change Manager
Tarefa 2: Criando uma função assumida para Change Manager
Tarefa 3: Anexar a política iam:PassRole a outras funções
Tarefa 4: Adicionar políticas em linha a um papel assumido para invocar outros Serviços da AWS
Tarefa 5: Configurar o acesso do usuário para Change Manager

Tarefa 1: Criar uma política de função assumida para Change Manager

Use o procedimento a seguir para criar a política que você anexará à sua função assumida Change Manager.

Para criar uma política de função assumida para Change Manager

Abra o console do IAM em https://console.aws.amazon.com/iam/.
No painel de navegação, escolha Policies e, em seguida, Create Policy.

Na página Criar política, escolha a guia JSON e substitua o conteúdo padrão pelo seguinte, que você modificará para suas próprias Change Manager operações nas etapas a seguir.

nota

Se você estiver criando uma política para usar com uma única Conta da AWS e não uma organização com várias contas e Regiões da AWS, é possível omitir o primeiro bloco de instrução. A iam:PassRole permissão não é necessária no caso de uma única conta usando Change Manager.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::delegated-admin-account-id:role/AWS-SystemsManager-job-functionAdministrationRole",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ssm.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeDocument",
                "ssm:GetDocument",
                "ssm:StartChangeRequestExecution"
            ],
            "Resource": [
                "arn:aws:ssm:region:account-id:automation-definition/template-name:$DEFAULT",
                "arn:aws:ssm:region::document/template-name"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:ListOpsItemEvents",
                "ssm:GetOpsItem",
                "ssm:ListDocuments",
                "ssm:DescribeOpsItems"
            ],
            "Resource": "*"
        }
    ]
}

Para a ação iam:PassRole, atualize o valor Resource para incluir os ARNs de todas as funções de trabalho definidas para sua organização que você deseja conceder permissões para iniciar fluxos de trabalho de runbook.
Substitua os espaços reservados de region, account-id, template-name, delegated-admin-account-id e job-function por valores para suas operações Change Manager.
Para a segunda instrução Resource, modifique a lista para incluir todos os modelos de alteração para os quais você deseja conceder permissões. Como alternativa, especifique "Resource": "*" para conceder permissões para todos os modelos de alteração em sua organização.
Escolha Próximo: tags.
(Opcional) Adicione um ou mais pares de chave-valor de etiqueta para organizar, monitorar ou controlar acesso para essa política.
Escolha Próximo: revisar.
Na página Review policy (Revisar política), insira um nome na caixa Name (Nome), como MyChangeManagerAssumeRole, e insira uma descrição opcional.
Escolha Create policy (Criar política) e continue para Tarefa 2: Criando uma função assumida para Change Manager.

Tarefa 2: Criando uma função assumida para Change Manager

Use o procedimento a seguir para criar uma função assumida Change Manager, um tipo de função de serviço, para Change Manager.

Para criar uma função assumida para Change Manager

Abra o console do IAM em https://console.aws.amazon.com/iam/.
No painel de navegação, escolha Roles e Create role.
Em Select trusted entity (Selecionar entidade confiável), faça as seguintes escolhas:
1. Em Trusted entity type (Tipo de entidade confiável), escolha service (Serviço da AWS)
2. Em Casos de uso para outros Serviços da AWS, escolha Systems Manager.
3. Escolha Systems Manager, como mostrado na imagem a seguir.
Escolha Próximo.
Na página Attached permissions policy (Política de permissões anexadas), procure a política de função assumida que você criou em Tarefa 1: Criar uma política de função assumida para Change Manager, por exemplo,MyChangeManagerAssumeRole.
Marque a caixa de seleção ao lado do nome da política assumir função e escolha Próximo: tags..
Em Role name (Nome da função), insira um nome para seu novo perfil da instância, como MyChangeManagerAssumeRole.
(Opcional) Em Description (Descrição), atualize a descrição deste perfil de instância.
(Opcional) Adicione um ou mais pares de chave-valor de etiqueta para organizar, monitorar ou controlar acesso para essa função.
Escolha Próximo: revisar.
(Opcional) Em Tags (Etiquetas), adicione um ou mais pares de valores etiqueta-chave para organizar, monitorar ou controlar o acesso para esse perfil e, em seguida, escolha Create role (Criar perfil). O sistema faz com que você retorne para a página Roles.
Selecione Create role (Criar função). O sistema faz com que você retorne para a página Roles.
Na página Roles (Funções), escolha a função que você acabou de criar para abrir a página Summary (Resumo).

Tarefa 3: Anexar a política `iam:PassRole` a outras funções

Use o procedimento a seguir para anexar a política iam:PassRole a um perfil de instância do IAM ou função de serviço do IAM. (O serviço Systems Manager usa perfis de instância do IAM para se comunicar com instâncias do EC2. Para nós gerenciados que não são do EC2 em um ambiente híbrido e multinuvem, utiliza-se um perfil de serviço do IAM.)

Ao anexar o política iam:PassRole, o serviço Change Manager pode passar permissões de função para outros serviços ou ferramentas do Systems Manager (Gerenciador de sistemas) ao executar fluxos de trabalho do runbook.

Para anexar a política `iam:PassRole` a um perfil de instância ou perfil de serviço do IAM

Abra o console do IAM em https://console.aws.amazon.com/iam/.
No painel de navegação, escolha Perfis.
Procure pela função assumida Change Manager que você criou, como MyChangeManagerAssumeRole, e escolha seu nome.
Na página Summary (Resumo) da função assumida, escolha a guia Permissions (Permissões).
Escolha Add permissions, Create inline policy (Adicionar permissões, Criar política em linha).
Na página Create policy (Criar política), selecione a guia Visual editor (Editor visual).
Selecione Service (Serviço) e, em seguida, selecione IAM.
Na caixa de texto Filter actions (Filtrar ações), insira PassRole e selecione a opção PassRole.
Ampliar os Resources (Recursos). Verifique se Specific (Específico) está selecionado e, em seguida, selecione Add ARN (Adicionar ARN).
No campo Specify ARN for role (Especificar ARN para função), insira o ARN da função de perfil da instância do IAM ou da função de serviço do IAM para a qual você deseja passar permissões de função assumida. O sistema preenche os campos Account (Conta) e Role name with path (Nome da função com caminho).
Escolha Add (Adicionar).
Escolha Review policy (Revisar política).
Em Name (Nome), insira um nome para identificar essa política e escolha Create policy (Criar política).

Mais informações

Tarefa 4: Adicionar políticas em linha a um papel assumido para invocar outros Serviços da AWS

Quando uma solicitação de alteração invoca outros Serviços da AWS usando a função assumida Change Manager, a função assume deve ser configurada com permissão para invocar esses serviços. Esse requisito se aplica a todos os AWSRunbooks do Automation (runbooks AWS-*) que podem ser usados em uma solicitação de alteração, como os Runbooks AWS-ConfigureS3BucketLogging, AWS-CreateDynamoDBBackup e AWS-RestartEC2Instance. Esse requisito também se aplica a todos os runbooks personalizados criados que invoquem outros Serviços da AWS, usando ações que chamam outros serviços. Por exemplo, se você usar as ações aws:executeAwsApi, aws:CreateStack ou aws:copyImage, então você deve configurar um perfil de serviço com permissão para invocar esses serviços. É possível habilitar permissões para outros Serviços da AWS adicionando uma política em linha do IAM à função.

Para adicionar uma política em linha a uma função de assunção para invocar outros Serviços da AWS (console do IAM)

Faça login no AWS Management Console e abra o console do IAM, em https://console.aws.amazon.com/iam/.
No painel de navegação, selecione Perfis.
Na lista, escolha o nome da função assumida que você deseja atualizar, como MyChangeManagerAssumeRole.
Escolha a aba Permissões.
Escolha Add permissions, Create inline policy (Adicionar permissões, Criar política em linha).
Selecione a guia JSON.

Insira um documento de política JSON para os Serviços da AWS que você deseja chamar. Veja a seguir dois exemplos de documentos de política JSON

Simple Storage Service (Amazon S3) PutObject e GetObject exemplo


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}

Amazon EC2 CreateSnapshot e DescribeSnapShots exemplo


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ec2:CreateSnapshot",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":"ec2:DescribeSnapshots",
         "Resource":"*"
      }
   ]
}

Para obter detalhes sobre a linguagem da política do IAM, consulte a Referência da política JSON do IAM no Guia do usuário do IAM.

Ao concluir, selecione Review policy (Revisar política). O Validador de política indica se há qualquer erro de sintaxe.
Em Name (Nome), insira um nome para identificar a política que você está criando. Revise o Resumo da política para ver as permissões que são concedidas pela política. Em seguida, escolha Criar política para salvar seu trabalho.
Após a criação de uma política em linha, ela é automaticamente incorporada à sua função.

Tarefa 5: Configurar o acesso do usuário para Change Manager

Se seu usuário, grupo ou perfil tiver permissões de administrador atribuídas, você terá acesso ao Change Manager. Se você não tiver permissões de administrador, um administrador deverá atribuir a política gerenciada AmazonSSMFullAccess ou uma política que forneça permissões comparáveis ao seu usuário, grupo ou perfil.

Use o procedimento a seguir para configurar um usuário para usar o Change Manager. O usuário escolhido terá permissões para configurar e executar o Change Manager.

Dependendo da aplicação de identidade que você usa em sua organização, é possível selecionar qualquer uma das três opções disponíveis para configurar o acesso do usuário. Ao configurar o acesso do usuário, atribua ou adicione o seguinte:

Atribua a política AmazonSSMFullAccess ou uma política comparável que forneça permissões para acessar o Systems Manager.
Atribua a política iam:PassRole.
Adicione o ARN para o perfil assumido do Change Manager copiado no final de Tarefa 2: Criando uma função assumida para Change Manager.

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:

Usuários e grupos no AWS IAM Identity Center:

Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário do AWS IAM Identity Center.
Usuários gerenciados no IAM com provedor de identidades:

Crie um perfil para a federação de identidades. Siga as instruções em Criando um perfil para um provedor de identidades de terceiros (federação) no Guia do Usuário do IAM.
Usuários do IAM:
- Crie um perfil que seu usuário possa assumir. Siga as instruções em Criação de um perfil para um usuário do IAM no Guia do usuário do IAM.
- (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adição de permissões a um usuário (console) no Guia do usuário do IAM.

Você terminou de configurar as funções necessárias para Change Manager. Agora é possível usar a função assumida ARN Change Manager em suas operações Change Manager.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Configurar os tópicos do Amazon SNS para as notificações do Change Manager

Controlar o acesso a fluxos de trabalho do runbook de aprovação automática