Eine Automatisierung mit Genehmigern ausführen - AWS Systems Manager
Ausführen einer Automatisierung mit Genehmigern (Konsole)Ausführen einer Automatisierung mit Genehmigern (Befehlszeile)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Eine Automatisierung mit Genehmigern ausführen

In den folgenden Verfahren wird beschrieben, wie Sie mit der AWS Systems Manager-Konsole, AWS Command Line Interface (AWS CLI) und einer Automatisierung mit Genehmigungen mithilfe einer einfachen Ausführung ausführen. Die Automatisierung verwendet die Automatisierungsaktion aws:approve, die die Automatisierung vorübergehend unterbricht, bis die Aktion von den designierten Prinzipalen entweder genehmigt oder abgelehnt wird. Die Automatisierung wird im Kontext des aktuellen Benutzers ausgeführt. Das bedeutet, dass Sie keine zusätzlichen IAM-Berechtigungen konfigurieren müssen, solange Sie über die Berechtigung zum Ausführen des Runbooks verfügen und alle Aktionen von dem Runbook aufgerufen werden. Wenn Sie über Administrator-Berechtigungen in IAM verfügen, haben Sie bereits die Berechtigung zur Verwendung dieses Runbooks.

Bevor Sie beginnen

Zusätzlich zu den Standardeingaben, die für das Runbook erforderlich sind, erfordert die Aktion aws:approve die beiden folgenden Parameter:

  • Eine Liste der Genehmiger. Die Liste der Genehmiger muss mindestens einen Genehmiger in Form eines Benutzernamens oder eines Benutzer-ARN enthalten. Wenn mehrere Genehmiger angegeben sind, muss im Runbook eine entsprechende minimale Genehmigungsanzahl festgelegt werden.

  • Ein Amazon Simple Notification Service (Amazon SNS)-Thema ARN Der Name des Amazon SNS-Themas muss mit Automation beginnen.

Bei diesem Verfahren wird davon ausgegangen, dass Sie bereits ein Amazon SNS-Thema erstellt haben. Dies ist erforderlich, um den Genehmigungsprozess bereitzustellen. Weitere Informationen finden Sie unter Erstellen eines Themas im Amazon Simple Notification Service-Entwicklerhandbuch.

Ausführen einer Automatisierung mit Genehmigern (Konsole)

So führen Sie eine Automatisierung mit Genehmigern aus

Im folgenden Verfahren wird beschrieben, wie Sie mithilfe der Systems Manager-Konsole eine Automatisierung mit Genehmigern ausführen.

  1. Öffnen Sie die AWS Systems Manager-Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Automation (Automatisierung) und Execute automation (Automatisierung ausführen) aus.

  3. Wählen Sie in der Liste Automation-Dokument ein Runbook. Wählen Sie eine oder mehrere Optionen im Bereich Dokumentkategorien, um SSM-Dokumente nach ihrem Zweck zu filtern. Um ein Runbook anzuzeigen, das Sie besitzen, wählen Sie die Im Besitz von mir-Registerkarte. Um ein Runbook anzuzeigen, das für Ihr Konto freigegeben ist, wählen Sie die Mit mir geteilt-Registerkarte. Um alle Runbooks anzuzeigen, wählen Sie die Alle Dokumente-Registerkarte.

    Anmerkung

    Sie können Informationen zu einem Runbook einsehen, indem Sie den Runbook-Namen auswählen.

  4. Überprüfen Sie im Abschnitt Document details (Dokument-Details), ob Document version (Dokumentversion) auf die Version gesetzt ist, die Sie ausführen möchten. Das System bietet die folgenden Versionsoptionen:

    • Standardversion zur Laufzeit – Wählen Sie diese Option aus, wenn das Automation-Runbook regelmäßig aktualisiert wird und eine neue Standardversion zugewiesen ist.

    • Letzte Version zur Laufzeit – Wählen Sie diese Option aus, wenn das Automation-Runbook regelmäßig aktualisiert wird, und Sie die Version auszuführen möchten, die zuletzt aktualisiert wurde.

    • 1 (Standard) – Wählen Sie diese Option zur Ausführung der ersten Version des Dokuments, welches der Standard ist.

  5. Wählen Sie Next (Weiter).

  6. Klicken Sie auf der Seite Execute automation document (Automation-Dokument ausführen) auf Simple execution (Einfache Ausführung).

  7. Geben Sie im Abschnitt Input parameters (Eingabeparameter) die erforderlichen Eingabeparameter an.

    Wenn Sie beispielsweise das AWS-StartEC2InstanceWithApproval-Runbook ausgewählt haben, müssen Sie Instance-IDs für den Parameter InstanceId angeben oder auswählen.

  8. Geben Sie im Abschnitt Genehmiger die Benutzernamen oder Benutzer-ARNs der Genehmiger für die Automatisierungsaktion an.

  9. Geben Sie im Abschnitt SNSTopicARN den SNS-Themen-ARN an, der für das Senden von Genehmigungsbenachrichtigungen verwendet werden soll. Der SNS-Themenname muss mit Automation beginnen.

  10. Sie können optional eine IAM-Servicerolle aus der Liste AutomationAssumeRole auswählen. Wenn Sie auf mehr als 100 Konten und Regionen abzielen, müssen Sie die AWS-SystemsManager-AutomationAdministrationRole angeben.

  11. Wählen Sie Execute automation (Automatisierung ausführen).

Der angegebene Genehmiger erhält eine Amazon SNS-Benachrichtigung mit Details zum Genehmigen oder Ablehnen der Automatisierung. Diese Genehmigungsaktion gilt für sieben Tage ab dem Ausstellungsdatum und kann über die Systems Manager-Konsole oder AWS Command Line Interface (AWS CLI). erfolgen.

Wenn Sie die Automatisierung genehmigen, führt die Automatisierung die im angegebenen Runbook enthaltenen Schritte aus. Die Konsole zeigt den Status der Automatisierung an. Wenn Automatisierung nicht ausgeführt werden kann, finden Sie weitere Informationen unter Fehlerbehebung für Systems Manager Automation..

So genehmigen Sie eine Automatisierung oder lehnen sie ab

  1. Öffnen Sie die AWS Systems Manager-Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Klicken Sie im Navigationsbereich auf Automation und wählen Sie dann die Automatisierung aus, die im vorherigen Verfahren ausgeführt wurde.

  3. Wählen Sie Actions (Aktionen) und dann Approve/Deny (Genehmigen/ablehnen) aus.

  4. Wählen Sie entweder Approve (Genehmigen) oder Deny (Ablehnen) aus und geben Sie bei Bedarf einen Kommentar ein.

  5. Wählen Sie Submit (Absenden) aus.

Ausführen einer Automatisierung mit Genehmigern (Befehlszeile)

Im folgenden Verfahren wird beschrieben, wie Sie die AWS CLI (unter Linux oder Windows) oder AWS Tools for PowerShell verwenden, um eine Automatisierung mit Genehmigern auszuführen.

So führen Sie eine Automatisierung mit Genehmigern aus

  1. Installieren und konfigurieren Sie die AWS CLI oder AWS Tools for PowerShell, falls noch nicht erfolgt.

    Weitere Informationen finden Sie unter Installieren oder Aktualisieren der neuesten Version der AWS CLI und Installieren des AWS Tools for PowerShell.

  2. Verwenden Sie den folgenden Befehl, um eine Automatisierung mit Genehmigern auszuführen. Ersetzen Sie jeden Beispiel Platzhalter für Ressourcen mit Ihren eigenen Informationen. Geben Sie im Abschnitt Dokumentname ein Runbook an, das die Automatisierungsaktion aws:approve enthält.

    Geben Sie für Approvers die Benutzernamen oder Benutzer-ARNs der Genehmiger für die Aktion an. Geben Sie für SNSTopic den SNS-Themen-ARN an, der zum Senden von Genehmigungsbenachrichtigungen verwendet werden soll. Der Name des Amazon SNS-Themas muss mit Automation beginnen.

    Anmerkung

    Die spezifischen Namen der Parameterwerte für Genehmiger und das SNS-Thema hängen von den im ausgewählten Runbook angegebenen Werten ab.

    Linux & macOS
    aws ssm start-automation-execution \
    --document-name "AWS-StartEC2InstanceWithApproval" \
    --parameters "InstanceId=i-02573cafcfEXAMPLE,Approvers=arn:aws:iam::123456789012:role/Administrator,SNSTopicArn=arn:aws:sns:region:123456789012:AutomationApproval"
    Windows
    aws ssm start-automation-execution ^
    --document-name "AWS-StartEC2InstanceWithApproval" ^
    --parameters "InstanceId=i-02573cafcfEXAMPLE,Approvers=arn:aws:iam::123456789012:role/Administrator,SNSTopicArn=arn:aws:sns:region:123456789012:AutomationApproval"
    PowerShell
    Start-SSMAutomationExecution `
    -DocumentName AWS-StartEC2InstanceWithApproval `
    -Parameters @{
        "InstanceId"="i-02573cafcfEXAMPLE"
        "Approvers"="arn:aws:iam::123456789012:role/Administrator"
        "SNSTopicArn"="arn:aws:sns:region:123456789012:AutomationApproval"
    }

    Das System gibt unter anderem folgende Informationen zurück

    Linux & macOS
    {
    "AutomationExecutionId": "df325c6d-b1b1-4aa0-8003-6cb7338213c6"
}
    Windows
    {
    "AutomationExecutionId": "df325c6d-b1b1-4aa0-8003-6cb7338213c6"
}
    PowerShell
    df325c6d-b1b1-4aa0-8003-6cb7338213c6
So genehmigen Sie eine Automatisierung

  • Führen Sie den folgenden Befehl aus, um eine Automatisierung zu genehmigen. Ersetzen Sie jeden Beispiel Platzhalter für Ressourcen mit Ihren eigenen Informationen.

    Linux & macOS
    aws ssm send-automation-signal \
    --automation-execution-id "df325c6d-b1b1-4aa0-8003-6cb7338213c6" \
    --signal-type "Approve" \
    --payload "Comment=your comments"
    Windows
    aws ssm send-automation-signal ^
    --automation-execution-id "df325c6d-b1b1-4aa0-8003-6cb7338213c6" ^
    --signal-type "Approve" ^
    --payload "Comment=your comments"
    PowerShell
    Send-SSMAutomationSignal `
    -AutomationExecutionId df325c6d-b1b1-4aa0-8003-6cb7338213c6 `
    -SignalType Approve `
    -Payload @{"Comment"="your comments"}

    Wenn der Befehl erfolgreich ausgeführt wurde, gibt es keine Ausgabe.

So lehnen Sie eine Automatisierung ab

  • Führen Sie den folgenden Befehl aus, um eine Automatisierung abzulehnen. Ersetzen Sie jeden Beispiel Platzhalter für Ressourcen mit Ihren eigenen Informationen.

    Linux & macOS
    aws ssm send-automation-signal \
    --automation-execution-id "df325c6d-b1b1-4aa0-8003-6cb7338213c6" \
    --signal-type "Deny" \
    --payload "Comment=your comments"
    Windows
    aws ssm send-automation-signal ^
    --automation-execution-id "df325c6d-b1b1-4aa0-8003-6cb7338213c6" ^
    --signal-type "Deny" ^
    --payload "Comment=your comments"
    PowerShell
    Send-SSMAutomationSignal `
    -AutomationExecutionId df325c6d-b1b1-4aa0-8003-6cb7338213c6 `
    -SignalType Deny `
    -Payload @{"Comment"="your comments"}

    Wenn der Befehl erfolgreich ausgeführt wurde, gibt es keine Ausgabe.