Ejecución de una automatización con aprobadores - AWS Systems Manager
Ejecución de una automatización con aprobadores (consola)Ejecución de una automatización con aprobadores (línea de comandos)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejecución de una automatización con aprobadores

Los siguientes procedimientos describen cómo utilizar la consola de AWS Systems Manager y la AWS Command Line Interface (AWS CLI) para ejecutar una automatización con aprobaciones mediante una ejecución sencilla. La automatización utiliza la acción de automatización aws:approve, lo que detiene de forma temporal la automatización hasta que las entidades principales designadas aprueben o denieguen la acción. La automatización se ejecuta en el contexto del usuario actual. Esto significa que no tiene que configurar más permisos de IAM siempre y cuando cuente con el permiso necesario para usar el manual de procedimientos y cualquier acción que este solicite. Si tiene permisos de administrador en IAM, ya cuenta con el permiso necesario para usar este manual de procedimientos.

Antes de empezar

Además de las entradas estándares requeridas por el manual de procedimientos, la acción aws:approve necesita los siguientes dos parámetros:

  • Una lista de aprobadores. La lista de aprobadores debe contener al menos un aprobador en forma de nombre de usuario o ARN de usuario. Si se proporcionan varios aprobadores, también debe especificarse el recuento de aprobaciones mínimo correspondiente en el manual de procedimientos.

  • El ARN de un tema de Amazon Simple Notification Service (Amazon SNS). El nombre del tema de Amazon SNS debe empezar con Automation.

En este procedimiento, se da por hecho que ya ha creado un tema de Amazon SNS, lo que es necesario para entregar una solicitud de aprobación. Para obtener información, consulte Creación de un tema en la Guía para desarrolladores de Amazon Simple Notification Service.

Ejecución de una automatización con aprobadores (consola)

Para ejecutar una automatización con aprobadores

El siguiente procedimiento describe cómo utilizar la consola de Systems Manager para ejecutar una automatización con aprobadores.

  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Automation (Automatización) y, después, seleccione Execute automation (Ejecutar automatización).

  3. En la lista Automation document (Documento de Automation), elija un manual de procedimientos. Elija una o más opciones en el panel Document categories (Categorías de documentos) para filtrar documentos SSM según su propósito. Para ver un manual de procedimientos que le pertenezca, seleccione la pestaña Owned by me (De mi propiedad). Para ver un manual de procedimientos que se haya compartido con su cuenta, elija la pestaña Compartido conmigo. Para ver todos los manuales de procedimientos, seleccione la pestaña All documents (Todos los documentos).

    nota

    Puede ver información acerca de un manual de procedimientos al seleccionar su nombre.

  4. En la sección Document details (Detalles del documento), verifique que Document version (Versión del documento) esté establecido como la versión que desea ejecutar. El sistema incluye las siguientes opciones de versión:

    • Default version at runtime (Versión predeterminada en tiempo de ejecución): seleccione esta opción si el manual de procedimientos de automatización se actualiza de forma periódica y se asigna una nueva versión predeterminada.

    • Latest version at runtime (Última versión en tiempo de ejecución): seleccione esta opción si el manual de procedimientos de automatización se actualiza de forma periódica y desea ejecutar la versión que se ha actualizado más recientemente.

    • 1 (Default) (1 [Predeterminado]): seleccione esta opción para ejecutar la primera versión del documento, que es la predeterminada.

  5. Elija Siguiente.

  6. En la página Execute automation document (Ejecutar documento de Automation), seleccione Simple execution (Ejecución sencilla).

  7. En la sección Input parameters (Parámetros de entrada), especifique los parámetros de entrada necesarios.

    Por ejemplo, si selecciona el manual de procedimientos AWS-StartEC2InstanceWithApproval, debe especificar o seleccionar los ID de instancias para el parámetro InstanceId.

  8. En la sección Aprobadores, especifique los nombres de usuario o los ARN de usuario de los aprobadores para la acción de automatización.

  9. En la sección SNSTopicARN, especifique el ARN de tema de SNS que utilizará para enviar la notificación de aprobación. El nombre de tema de SNS debe empezar por Automation.

  10. De forma opcional, puede elegir un rol de servicio de IAM de la lista AutomationAssumeRole. Si se indican más de 100 cuentas y regiones, debe especificar el AWS-SystemsManager-AutomationAdministrationRole.

  11. Elija Execute automation (Ejecutar automatización).

El aprobador especificado recibe una notificación de Amazon SNS con detalles para aprobar o rechazar la automatización. Esta acción de aprobación es válida durante 7 días a partir de la fecha de emisión y puede emitirse a través de la consola de Systems Manager o la AWS Command Line Interface (AWS CLI).

Si decide aprobar la automatización, esta sigue ejecutando los pasos incluidos en el manual de procedimientos especificado. La consola muestra el estado de la automatización. Si no se logra ejecutar la automatización, consulte Solución de problemas de Automatización de Systems Manager.

Para aprobar o denegar una automatización

  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Automation y, a continuación, seleccione la automatización que se ejecutó en el procedimiento anterior.

  3. Seleccione Actions (Acciones) y, a continuación, Approve/Deny (Aprobar/denegar).

  4. Seleccione Approve (Aprobar) o Deny (Denegar) y, si lo desea, proporcione un comentario.

  5. Elija Enviar.

Ejecución de una automatización con aprobadores (línea de comandos)

El siguiente procedimiento describe cómo utilizar la AWS CLI (en Linux o Windows) o las AWS Tools for PowerShell para ejecutar una automatización con aprobadores.

Para ejecutar una automatización con aprobadores

  1. Si aún no lo ha hecho, instale y configure la AWS CLI o las AWS Tools for PowerShell.

    Para obtener información, consulte Instalación o actualización de la última versión de la AWS CLI e Instalación de AWS Tools for PowerShell.

  2. Utilice el siguiente comando para ejecutar una automatización con aprobadores. Reemplace cada example resource placeholder por su propia información. En la sección del nombre del documento, especifique un manual de procedimientos que incluya la acción de automatización aws:approve.

    En Approvers, especifique los nombres de usuario o los ARN de usuario de los aprobadores para la acción. En SNSTopic, especifique el ARN de tema de SNS que desea utilizar para enviar la notificación de aprobación. El nombre del tema de Amazon SNS debe empezar con Automation.

    nota

    Los nombres específicos de los valores de los parámetros para los aprobadores y el tema de SNS dependen de los valores especificados en el manual de procedimientos que elija.

    Linux & macOS
    aws ssm start-automation-execution \
    --document-name "AWS-StartEC2InstanceWithApproval" \
    --parameters "InstanceId=i-02573cafcfEXAMPLE,Approvers=arn:aws:iam::123456789012:role/Administrator,SNSTopicArn=arn:aws:sns:region:123456789012:AutomationApproval"
    Windows
    aws ssm start-automation-execution ^
    --document-name "AWS-StartEC2InstanceWithApproval" ^
    --parameters "InstanceId=i-02573cafcfEXAMPLE,Approvers=arn:aws:iam::123456789012:role/Administrator,SNSTopicArn=arn:aws:sns:region:123456789012:AutomationApproval"
    PowerShell
    Start-SSMAutomationExecution `
    -DocumentName AWS-StartEC2InstanceWithApproval `
    -Parameters @{
        "InstanceId"="i-02573cafcfEXAMPLE"
        "Approvers"="arn:aws:iam::123456789012:role/Administrator"
        "SNSTopicArn"="arn:aws:sns:region:123456789012:AutomationApproval"
    }

    El sistema devuelve información similar a la siguiente.

    Linux & macOS
    {
    "AutomationExecutionId": "df325c6d-b1b1-4aa0-8003-6cb7338213c6"
}
    Windows
    {
    "AutomationExecutionId": "df325c6d-b1b1-4aa0-8003-6cb7338213c6"
}
    PowerShell
    df325c6d-b1b1-4aa0-8003-6cb7338213c6
Para aprobar una automatización

  • Ejecute el siguiente comando para aprobar una automatización. Reemplace cada example resource placeholder por su propia información.

    Linux & macOS
    aws ssm send-automation-signal \
    --automation-execution-id "df325c6d-b1b1-4aa0-8003-6cb7338213c6" \
    --signal-type "Approve" \
    --payload "Comment=your comments"
    Windows
    aws ssm send-automation-signal ^
    --automation-execution-id "df325c6d-b1b1-4aa0-8003-6cb7338213c6" ^
    --signal-type "Approve" ^
    --payload "Comment=your comments"
    PowerShell
    Send-SSMAutomationSignal `
    -AutomationExecutionId df325c6d-b1b1-4aa0-8003-6cb7338213c6 `
    -SignalType Approve `
    -Payload @{"Comment"="your comments"}

    No se obtienen resultados si el comando se ejecuta satisfactoriamente.

Para denegar una automatización

  • Ejecute el siguiente comando para denegar una automatización. Reemplace cada example resource placeholder por su propia información.

    Linux & macOS
    aws ssm send-automation-signal \
    --automation-execution-id "df325c6d-b1b1-4aa0-8003-6cb7338213c6" \
    --signal-type "Deny" \
    --payload "Comment=your comments"
    Windows
    aws ssm send-automation-signal ^
    --automation-execution-id "df325c6d-b1b1-4aa0-8003-6cb7338213c6" ^
    --signal-type "Deny" ^
    --payload "Comment=your comments"
    PowerShell
    Send-SSMAutomationSignal `
    -AutomationExecutionId df325c6d-b1b1-4aa0-8003-6cb7338213c6 `
    -SignalType Deny `
    -Payload @{"Comment"="your comments"}

    No se obtienen resultados si el comando se ejecuta satisfactoriamente.