Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfigurieren Sie mit der Konsole Berechtigungen für Wartungsfenster
Im Folgenden wird beschrieben, wie Sie die erforderlichen Rollen und Berechtigungen für Wartungsfenster mit der AWS Systems Manager-Konsole erstellen.
Themen
- Aufgabe 1: Erstellen einer benutzerdefinierten Servicerolle für Wartungsfenster-Aufgaben
- Aufgabe 2: Erstellen einer benutzerdefinierten Servicerolle für Wartungsfenster (Konsole)
- Aufgabe 3: Konfigurieren von Berechtigungen für Benutzer, die Wartungsfenster-Aufgaben registrieren dürfen (Konsole)
- Aufgabe 4: Konfigurieren von Berechtigungen für Benutzer, die keine Aufgaben für das Wartungsfenster registrieren können
Aufgabe 1: Erstellen einer benutzerdefinierten Servicerolle für Wartungsfenster-Aufgaben
Sie können die folgende Richtlinie im JSON-Format verwenden, um die Richtlinie zu erstellen, die mit der Wartungsfenster-Rolle verwendet werden soll. Sie hängen diese Richtlinie an die Rolle an, die Sie später in Aufgabe 2: Erstellen einer benutzerdefinierten Servicerolle für Wartungsfenster (Konsole) erstellen.
Wichtig
Abhängig von den Aufgaben und Arten von Aufgaben, die Ihre Wartungsfenster ausführen, benötigen Sie möglicherweise nicht alle Berechtigungen in dieser Richtlinie und müssen möglicherweise zusätzliche Berechtigungen einschließen.
Erstellen einer benutzerdefinierten Servicerolle für Wartungsfenster-Aufgaben
Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/
. -
Wählen Sie im Navigationsbereich Policies und dann Create Policy.
-
Wählen Sie den Tab JSON.
-
Ersetzen Sie die Standardinhalte durch folgenden Inhalt:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:SendCommand", "ssm:CancelCommand", "ssm:ListCommands", "ssm:ListCommandInvocations", "ssm:GetCommandInvocation", "ssm:GetAutomationExecution", "ssm:StartAutomationExecution", "ssm:ListTagsForResource", "ssm:GetParameters" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "states:DescribeExecution", "states:StartExecution" ], "Resource": [ "arn:aws:states:*:*:execution:*:*", "arn:aws:states:*:*:stateMachine:*" ] }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:*" ] }, { "Effect": "Allow", "Action": [ "resource-groups:ListGroups", "resource-groups:ListGroupResources" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "ssm.amazonaws.com" ] } } } ] } -
Ändern Sie den JSON-Inhalt nach Bedarf für die Wartungsaufgaben, die Sie in Ihrem Konto ausführen. Die Änderungen, die Sie vornehmen, beziehen sich auf Ihre geplanten Abläufe.
Zum Beispiel:
-
Sie können Amazon-Ressourcenname (ARN) für bestimmte Funktionen und Zustandsmaschinen angeben, anstatt Platzhalter-Kennzeichner (*) zu verwenden.
-
Wenn Sie keine AWS Step Functions-Aufgaben ausführen möchten, können Sie die
states-Berechtigungen und (ARNs) entfernen. -
Wenn Sie keine AWS Lambda-Aufgaben ausführen möchten, können Sie die
lambda-Berechtigungen und ARNs entfernen. -
Wenn Sie keine Automatisierungs-Aufgaben ausführen möchten, können Sie die
ssm:GetAutomationExecution- undssm:StartAutomationExecution-Berechtigungen entfernen. -
Fügen Sie zusätzliche Berechtigungen hinzu, die möglicherweise für die Ausführung der Aufgaben erforderlich sind. Manche Automatisierungsaktionen basieren z. B. auf AWS CloudFormation-Stacks. Aus diesem Grund sind die Berechtigungen
cloudformation:CreateStack,cloudformation:DescribeStacksundcloudformation:DeleteStackerforderlich.Als weiteres Beispiel benötigt das Automation-Runbook
AWS-CopySnapshotBerechtigungen zum Erstellen eines Amazon Elastic Block Store (Amazon EBS)-Snapshots. Daher benötigt die Servicerolle die Berechtigungec2:CreateSnapshot.Informationen zu den Rollenberechtigungen, die von Automation-Runbooks benötigt werden, finden Sie in den Runbook-Beschreibungen in der Referenz zum AWS Systems Manager-Automation-Runbook..
-
-
Nachdem Sie die Richtlinienüberarbeitungen abgeschlossen haben, wählen Sie Next: Tags (Weiter: Tags).
-
(Optional) Fügen Sie ein oder mehrere Tag (Markierung)-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Richtlinie zu organisieren, zu verfolgen oder zu steuern, und wählen Sie dann Next: Review (Nächster Schritt: Prüfen) aus.
-
Geben Sie für Name einen Namen ein, der dies als Richtlinie identifiziert, die von der von Ihnen erstellten Maintenance Windows-Servicerolle verwendet wird. Beispiel:
my-maintenance-window-role-policy. -
Wählen Sie Create policy (Richtlinie erstellen) und notieren Sie sich den Namen, den Sie für die Richtlinie angegeben haben. Sie beziehen sich im nächsten Verfahren, Aufgabe 2: Erstellen einer benutzerdefinierten Servicerolle für Wartungsfenster (Konsole), darauf.
Aufgabe 2: Erstellen einer benutzerdefinierten Servicerolle für Wartungsfenster (Konsole)
Verwenden Sie das folgende Verfahren, um eine benutzerdefinierte Servicerolle für Maintenance Windows zu erstellen, damit Systems Manager Maintenance Windows-Aufgaben in Ihrem Namen ausführen kann. Sie fügen die Richtlinie, die Sie in der vorherigen Aufgabe erstellt haben, an die von Ihnen erstellte benutzerdefinierte Servicerolle an.
Wichtig
Zuvor bot Ihnen die Systems-Manager-Konsole die Möglichkeit, die von AWS verwaltete serviceverknüpfte IAM-Rolle AWSServiceRoleForAmazonSSM als Wartungsrolle für Ihre Aufgaben zu verwenden. Die Verwendung dieser Rolle und der zugehörigen Richtlinie, AmazonSSMServiceRolePolicy, für Wartungsfenster-Aufgaben wird nicht mehr empfohlen. Wenn Sie diese Rolle jetzt für Wartungsfenster-Aufgaben verwenden, empfehlen wir Ihnen, sie nicht mehr zu verwenden. Erstellen Sie stattdessen Ihre eigene IAM-Rolle, die die Kommunikation zwischen Systems Manager und anderen AWS-Services ermöglicht, wenn Ihre Wartungsfenster-Aufgaben ausgeführt werden.
So erstellen Sie eine benutzerdefinierte Servicerolle (Konsole)
Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/
. -
Wählen Sie im Navigationsbereich Roles (Rollen) und dann Create role (Rolle erstellen).
-
Wählen Sie für Select trusted entity (Vertrauenswürdige Entität auswählen) die folgenden Optionen:
-
Wählen Sie unter Trusted entity type (Typ der vertrauenswürdigen Entität) die Option AWS-Service
-
Für Anwendungsfälle für andere AWS-Services, wählen Sie Systems Manager
-
Wählen Sie Systems Manager, wie im folgenden Image gezeigt.
-
-
Wählen Sie Next (Weiter).
-
Geben Sie im Suchfeld den Namen der Richtlinie ein, die Sie in Aufgabe 1: Erstellen einer benutzerdefinierten Servicerolle für Wartungsfenster-Aufgaben erstellt haben, aktivieren Sie das Kontrollkästchen neben dem Namen und wählen Sie dann Next (Weiter).
-
Geben Sie unter Role name (Rollenname) einen Namen ein, der diese Rolle als Maintenance Windows-Rolle identifiziert. Beispiel:
my-maintenance-window-role. -
(Optional) Ändern der Standardrollenbeschreibung, um den Zweck dieser Rolle anzuzeigen. Beispiel:
Performs maintenance window tasks on your behalf. -
(Optional) Fügen Sie ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Rolle zu organisieren, zu verfolgen oder zu steuern und wählen Sie dann Next: Review (Weiter: Prüfen) aus.
-
Wählen Sie Create role (Rolle erstellen) aus. Das System leitet Sie zur Seite Roles (Rollen) zurück.
-
Wählen Sie den Namen der Rolle aus, die Sie gerade erstellt haben.
-
Wählen Sie die Registerkarte Trust relationships (Vertrauensstellungen) aus, und überprüfen Sie dann, ob die folgende Richtlinie im Feld Trusted entities (Vertrauenswürdige Entitäten) angezeigt wird.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
Kopieren oder Notieren Sie sich Rollenname und ARN-Wert im Übersicht-Bereich. Benutzer in Ihrem Konto geben diese Informationen an, wenn sie Wartungsfenster erstellen.
Aufgabe 3: Konfigurieren von Berechtigungen für Benutzer, die Wartungsfenster-Aufgaben registrieren dürfen (Konsole)
Wenn Sie eine Aufgabe mit einem Wartungsfenster registrieren, geben Sie entweder eine benutzerdefinierte Servicerolle oder eine Systems Manager Service-verknüpfte Rolle für die Ausführung der eigentlichen Aufgaben-Vorgänge an. Hierbei handelt es sich um die Rolle, die vom Service angenommen wird, wenn Aufgaben in Ihrem Namen ausgeführt werden. Um die Aufgabe selbst zu registrieren, weisen Sie zuvor die IAM PassRole-Richtlinie einer IAM-Entität (z. B. einem Benutzer oder einer Gruppe) zu. Dadurch kann die IAM Entität (Benutzer oder Gruppe) als Teil der Registrierung dieser Aufgaben im Wartungsfenster die Rolle angeben, die beim Ausführen der Aufgaben verwendet werden soll. Weitere Informationen finden Sie unter Erteilen von Berechtigungen, mit denen ein Benutzer eine Rolle an einen AWS-Service übergeben kann im IAM-Benutzerhandbuch.
So konfigurieren Sie die Berechtigungen für Benutzer, die Wartungsfensteraufgaben registrieren dürfen
Wenn eine IAM-Entität (Benutzer, Rolle oder Gruppe) mit Administratorberechtigungen eingerichtet ist, hat der Benutzer oder die Rolle Zugriff auf Wartungsfenster. Für Entitäten ohne Administratorberechtigungen muss ein Administrator der IAM-Entität die folgenden Berechtigungen gewähren. Dies sind die Mindestberechtigungen, die erforderlich sind, um Aufgaben in einem Wartungsfenster zu registrieren:
-
Die von
AmazonSSMFullAccessverwaltete Richtlinie oder eine Richtlinie, die vergleichbare Berechtigungen bereitstellt. -
Die folgenden
iam:PassRole- undiam:ListRoles-Berechtigungen.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::account-id:role/my-maintenance-window-role" }, { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::account-id:role/" }, { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::account-id:role/aws-service-role/ssm.amazonaws.com/" } ] }my-maintenance-window-rolerepräsentiert den Namen der benutzerdefinierten Wartungsfensterrolle, die Sie zuvor erstellt haben.account-idrepräsentiert die ID Ihres AWS-Konto. Durch das Hinzufügen dieser Berechtigung für die Ressourcearn:aws:iam::können Benutzer Kundenrollen in der Konsole anzeigen und auswählen, wenn sie eine Wartungsfensteraufgabe erstellen. Durch das Hinzufügen dieser Berechtigung füraccount-id:role/arn:aws:iam::können Benutzer die mit dem Systems Manager-Service verknüpfte Rolle in der Konsole auswählen, wenn sie eine Wartungsfensteraufgabe erstellen.account-id:role/aws-service-role/ssm.amazonaws.com/Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
-
Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center-Benutzerhandbuch.
-
Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Verbund) im IAM-Benutzerhandbuch.
-
IAM-Benutzer:
-
Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen IAM-Benutzer im IAM-Benutzerhandbuch.
-
(Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.
-
-
Konfigurieren von Berechtigungen für Gruppen, die Wartungsfensteraufgaben registrieren dürfen (Konsole)
Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/
. -
Klicken Sie im Navigationsbereich auf Benutzergruppen.
-
Wählen Sie in der Liste der Gruppen den Namen der Gruppe aus, der Sie die
iam:PassRole-Berechtigung zuweisen möchten. -
Wählen Sie auf der Registerkarte Permissions (Berechtigungen) die Optionen Add permissions, Create Inline Policy (Berechtigungen hinzufügen, Inline-Richtlinie erstellen) und anschließend die Registerkarte JSON aus.
-
Ersetzen Sie den Standardinhalt des Felds durch den folgenden Inhalt.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::account-id:role/my-maintenance-window-role" }, { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::account-id:role/" }, { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::account-id:role/aws-service-role/ssm.amazonaws.com/" } ] }my-maintenance-window-rolerepräsentiert den Namen der benutzerdefinierten Wartungsfensterrolle, die Sie zuvor erstellt haben.account-idrepräsentiert die ID Ihres AWS-Konto. Durch das Hinzufügen dieser Berechtigung für die Ressourcearn:aws:iam::können Benutzer Kundenrollen in der Konsole anzeigen und auswählen, wenn sie eine Wartungsfensteraufgabe erstellen. Durch das Hinzufügen dieser Berechtigung füraccount-id:role/arn:aws:iam::können Benutzer die mit dem Systems Manager-Service verknüpfte Rolle in der Konsole auswählen, wenn sie eine Wartungsfensteraufgabe erstellen.account-id:role/aws-service-role/ssm.amazonaws.com/ -
Wählen Sie Review policy (Richtlinie prüfen).
-
Geben Sie auf der Seite Review Policy (Richtlinie überprüfen) einen Namen in das Feld Name ein, um diese
PassRole-Richtlinie zu identifizieren (beispielsweisemy-group-iam-passrole-policy) und wählen Sie dann Create Policy (Richtlinie erstellen) aus.
Aufgabe 4: Konfigurieren von Berechtigungen für Benutzer, die keine Aufgaben für das Wartungsfenster registrieren können
Je nachdem, ob Sie die ssm:RegisterTaskWithMaintenanceWindow-Berechtigung für einen einzelnen Benutzer oder eine Gruppe verweigern, verwenden Sie eines der folgenden Verfahren, um zu verhindern, dass Benutzer Aufgaben mit einem Wartungsfenster registrieren können.
So konfigurieren Sie Berechtigungen für Benutzer, die keine Wartungsfensteraufgaben registrieren dürfen
-
Ein Administrator muss der IAM-Entität die folgenden Einschränkungen hinzufügen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ssm:RegisterTaskWithMaintenanceWindow", "Resource": "*" } ] }
Konfigurieren von Berechtigungen für Gruppen, die Wartungsfensteraufgaben registrieren dürfen (Konsole)
Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/
. -
Klicken Sie im Navigationsbereich auf Benutzergruppen.
-
Wählen Sie in der Liste der Gruppen den Namen der Gruppe aus, der Sie die
ssm:RegisterTaskWithMaintenanceWindow-Berechtigung verweigern möchten. -
Wählen Sie auf der Registerkarte Permissions (Berechtigungen) die Optionen Add permissions, Create Inline Policy (Berechtigungen hinzufügen, Inline-Richtlinie erstellen) aus.
-
Wählen Sie die Registerkarte JSON und ersetzen Sie den Standardinhalt des Feldes durch den folgenden Text.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ssm:RegisterTaskWithMaintenanceWindow", "Resource": "*" } ] } -
Wählen Sie Review policy (Richtlinie prüfen).
-
Geben Sie auf der Seite Review Policy (Richtlinie überprüfen) bei Name einen Namen ein, um diese Richtlinie zu identifizieren (beispielsweise
my-groups-deny-mw-tasks-policy) und wählen Sie dann Create Policy (Richtlinie erstellen) aus.
