Ejecución de automatizaciones en varias cuentas y Regiones de AWS - AWS Systems Manager
Configuración de permisos de administración de la cuenta para la automatización de varias regiones y cuentasEjecución de una automatización en varias regiones y cuentas (consola)Ejecución de Automatización en varias regiones y cuentas (línea de comandos)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejecución de automatizaciones en varias cuentas y Regiones de AWS

Puede ejecutar automatizaciones de AWS Systems Manager en varias Regiones de AWS y Cuentas de AWS, o unidades organizativas de AWS Organizations desde una cuenta central. Automation es una capacidad de AWS Systems Manager. La ejecución de automatizaciones en varias regiones, cuentas u OU reduce la cantidad de tiempo necesario para administrar los recursos de AWS, a la vez que mejora la seguridad de su entorno informático.

Por ejemplo, puede hacer lo siguiente con manuales de procedimientos de automatización:

  • Implementar revisiones y actualizaciones de seguridad de forma centralizada.

  • Corregir la desviación del cumplimiento en las configuraciones de VPC o en políticas del bucket de Amazon S3.

  • Administrar recursos a escala, como instancias de Amazon Elastic Compute Cloud (Amazon EC2).

En el siguiente diagrama, se muestra un ejemplo de un usuario que ejecuta el manual de procedimientos AWS-RestartEC2Instances en varias regiones y cuentas desde una cuenta central. La automatización localiza las instancias a través de las etiquetas especificadas en las regiones y las cuentas determinadas.

nota

Al ejecutar una automatización en varias regiones y cuentas, indica los recursos como destino a través de etiquetas o el nombre de un grupo de recursos de AWS. El grupo de recursos debe existir en cada cuenta y región de destino. El nombre del grupo de recursos debe existir en cada cuenta y región de destino. La automatización no se podrá ejecutar en los recursos que no tengan la etiqueta especificada o que no se encuentren en el grupo de recursos especificado.

Ilustración que muestra la ejecución de Automatización de Systems Manager en varias regiones y cuentas.
Elija una cuenta central para Automatización

Si desea ejecutar automatizaciones en todas las unidades organizativas, la cuenta central debe tener permisos para enumerar todas las cuentas de las mismas. Esto solo es posible desde una cuenta de administrador delegado o desde la cuenta de administración de la organización. Le recomendamos que siga las prácticas recomendadas de AWS Organizations y use una cuenta de administrador delegado. Para obtener más información acerca de las prácticas recomendadas de AWS Organizations, consulte Prácticas recomendadas para la cuenta de administración en la Guía del usuario de AWS Organizations. Para crear una cuenta de administrador delegado de Systems Manager, puede utilizar el comando register-delegated-administrator con la AWS CLI, tal y como se muestra en el siguiente ejemplo.

aws organizations register-delegated-administrator \
    --account-id delegated admin account ID \
    --service-principal ssm.amazonaws.com

Si quiere ejecutar automatizaciones en varias cuentas que no estén administradas por AWS Organizations, recomendamos crear una cuenta dedicada a la administración de automatizaciones. Ejecutar todas las automatizaciones entre cuentas desde una cuenta dedicada simplifica la administración de permisos de IAM, la solución de problemas y crea una capa de separación entre las operaciones y la administración. Este enfoque también se recomienda si usa AWS Organizations, pero solo se quiere dirigirse a cuentas individuales y no a unidades organizativas.

Cómo funciona la ejecución de automatizaciones

La ejecución de automatizaciones en varias regiones, cuentas u OU funciona de la siguiente manera:

  1. Compruebe que todos los recursos en los que desea ejecutar la automatización utilizan las mismas etiquetas en todas las regiones, las cuentas o las OU. Si no es así, puede añadirlas a un grupo de recursos de AWS e indicar dicho grupo como destino. Para obtener más información, consulte What are resource groups? (¿Qué son los grupos de recursos?) en la Guía del usuario de AWS Resource Groups y etiquetas.

  2. Inicie sesión en la cuenta que desee configurar como cuenta central de Automatización.

  3. Utilice el procedimiento Configuración de permisos de administración de la cuenta para la automatización de varias regiones y cuentas en este tema para crear los siguientes roles de IAM:

    • AWS-SystemsManager-AutomationAdministrationRole: este rol concede a los usuarios permiso para ejecutar automatizaciones en varias cuentas y unidades organizativas.

    • AWS-SystemsManager-AutomationExecutionRole: este rol concede a los usuarios permiso para ejecutar automatizaciones en cuentas determinadas.

  4. Elija el manual de procedimientos, las regiones, las cuentas o las OU donde desea ejecutar la automatización.

    nota

    Las automatizaciones no se ejecutan recursivamente a través de las OU. Asegúrese de que la unidad organizativa de destino contenga las cuentas deseadas. Si elige un manual de procedimientos personalizado, este debe compartirse con todas las cuentas de destino. Para obtener información acerca de cómo compartir manuales de procedimiento, consulte Uso compartido de documentos de SSM. Para obtener información acerca del uso de manuales de procedimientos compartidos, consulte Uso de documentos de SSM compartidos.

  5. Ejecute la automatización.

    nota

    Al ejecutar automatizaciones en varias regiones, cuentas u OU, la automatización que ejecuta desde la cuenta principal inicia las automatizaciones secundarias en cada una de las cuentas de destino. La automatización en la cuenta principal tiene pasos aws:executeAutomation para cada una de las cuentas de destino. Si inicia una automatización desde nuevas regiones lanzadas después del 20 de marzo de 2019 y elije como destino una región que esté habilitada de forma predeterminada, la automatización tendrá errores. Si inicia una automatización desde una región que está habilitada de forma predeterminada y elije como destino una región que ha habilitado, la automatización se ejecutará correctamente.

  6. Utilice las operaciones de la API GetAutomationExecution, DescribeAutomationStepExecutions y DescribeAutomationExecutions desde la consola de AWS Systems Manager o la AWS CLI para supervisar el progreso de la automatización. La salida de los pasos para la automatización en su cuenta principal será el AutomationExecutionId de las automatizaciones secundarias. Para ver la salida de las automatizaciones secundarias creadas en las cuentas de destino, asegúrese de especificar la cuenta, la región y el AutomationExecutionId adecuados en su solicitud.

Configuración de permisos de administración de la cuenta para la automatización de varias regiones y cuentas

Utilice el siguiente procedimiento para crear los roles de IAM necesarios para la automatización de Systems Manager de varias regiones y cuentas mediante AWS CloudFormation. Este procedimiento describe cómo crear el rol AWS-SystemsManager-AutomationAdministrationRole. Solo tiene que crear este rol en la cuenta central de Automatización. Este procedimiento también describe cómo crear el rol AWS-SystemsManager-AutomationExecutionRole. Debe crear este rol en todas las cuentas que desea indicar como destino para ejecutar automatizaciones de varias regiones y cuentas. Se recomienda utilizar AWS CloudFormation StackSets para crear el rol AWS-SystemsManager-AutomationExecutionRole en las cuentas que desee indicar como destino para ejecutar automatizaciones de varias regiones y cuentas.

Para crear el rol de automatización de IAM requerido en las automatizaciones de varias regiones y cuentas mediante el uso de AWS CloudFormation

  1. Descargue y descomprima AWS-SystemsManager-AutomationAdministrationRole.zip. O, si sus cuentas están administradas por AWS Organizations, AWS-SystemsManager-AutomationAdministrationRole (org).zip. Este archivo contiene el archivo de plantilla AWS-SystemsManager-AutomationAdministrationRole.yaml de AWS CloudFormation.

  2. Abra la consola de AWS CloudFormation en https://console.aws.amazon.com/cloudformation.

  3. Elija Create stack (Crear pila).

  4. En la sección Specify template (Especificar plantilla) elija Upload a template file (Cargar un archivo de plantilla).

  5. Elija Choose file (Elegir archivo) y, a continuación, elija el archivo de plantilla AWS-SystemsManager-AutomationAdministrationRole.yaml de AWS CloudFormation.

  6. Elija Siguiente.

  7. En la página Specify stack details (Especificar detalles de la pila), escriba un nombre en el campo Stack name (Nombre de la pila).

  8. Elija Siguiente.

  9. En la página Configure stack options (Configurar opciones de la pila), ingrese los valores de las opciones que desea utilizar. Elija Siguiente.

  10. En la página Review (Revisar), desplácese hacia abajo y elija la opción I acknowledge that AWS CloudFormation might create IAM resources with custom names (Acepto que es posible que cree recursos de IAM con nombres personalizados).

  11. Elija Create stack (Crear pila).

AWS CloudFormation muestra el estado CREATE_IN_PROGRESS durante tres minutos aproximadamente. El estado cambia a CREATE_COMPLETE.

Tiene que repetir el siguiente procedimiento en todas las cuentas que desee indicar como destino para ejecutar automatizaciones de varias regiones y cuentas.

Para crear el rol de automatización de IAM requerido en las automatizaciones de varias regiones y cuentas mediante el uso de AWS CloudFormation

  1. Descargue AWS-SystemsManager-AutomationExecutionRole.zip. O, si sus cuentas están administradas por AWS Organizations, AWS-SystemsManager-AutomationExecutionRole (org).zip. Este archivo contiene el archivo de plantilla AWS-SystemsManager-AutomationExecutionRole.yaml de AWS CloudFormation.

  2. Abra la consola de AWS CloudFormation en https://console.aws.amazon.com/cloudformation.

  3. Elija Create stack (Crear pila).

  4. En la sección Specify template (Especificar plantilla) elija Upload a template file (Cargar un archivo de plantilla).

  5. Elija Choose file (Elegir archivo) y, a continuación, elija el archivo de plantilla AWS-SystemsManager-AutomationExecutionRole.yaml de AWS CloudFormation.

  6. Elija Siguiente.

  7. En la página Specify stack details (Especificar detalles de la pila), escriba un nombre en el campo Stack name (Nombre de la pila).

  8. En la sección Parameters (Parámetros), en el campo AdminAccountId, escriba el ID de la cuenta central de Automatización.

  9. Si configura este rol para un entorno de AWS Organizations, hay otro campo en la sección denominado OrganizationID. Ingrese el ID de su organización de AWS.

  10. Elija Siguiente.

  11. En la página Configure stack options (Configurar opciones de la pila), ingrese los valores de las opciones que desea utilizar. Elija Siguiente.

  12. En la página Review (Revisar), desplácese hacia abajo y elija la opción I acknowledge that AWS CloudFormation might create IAM resources with custom names (Acepto que es posible que cree recursos de IAM con nombres personalizados).

  13. Elija Create stack (Crear pila).

AWS CloudFormation muestra el estado CREATE_IN_PROGRESS durante tres minutos aproximadamente. El estado cambia a CREATE_COMPLETE.

Ejecución de una automatización en varias regiones y cuentas (consola)

El siguiente procedimiento describe cómo utilizar la consola de Systems Manager para ejecutar una automatización de varias regiones y cuentas desde la cuenta de administración de Automation.

Antes de empezar

Antes de completar el siguiente procedimiento, tenga en cuenta la siguiente información:

  • El usuario o el rol que utilice para ejecutar una automatización de varias regiones o cuentas debe tener el permiso iam:PassRole para el rol AWS-SystemsManager-AutomationAdministrationRole.

  • las OU o los ID de la Cuenta de AWS donde desee ejecutar la automatización

  • las regiones admitidas por Systems Manager en las que desea ejecutar la automatización

  • la clave y el valor de la etiqueta, o el nombre del grupo de recursos donde desea ejecutar la automatización

Para ejecutar una automatización en varias regiones y cuentas

  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Automation (Automatización) y, después, seleccione Execute automation (Ejecutar automatización).

  3. En la lista Automation document (Documento de Automatización), elija un manual de procedimientos. Elija una o más opciones en el panel Document categories (Categorías de documentos) para filtrar documentos SSM según su propósito. Para ver un manual de procedimientos que le pertenezca, seleccione la pestaña Owned by me (De mi propiedad). Para ver un manual de procedimientos que se haya compartido con su cuenta, elija la pestaña Shared with me (Compartido conmigo). Para ver todos los manuales de procedimientos, seleccione la pestaña All documents (Todos los documentos).

    nota

    Puede ver información acerca de un manual de procedimientos al seleccionar su nombre.

  4. En la sección Document details (Detalles del documento), verifique que Document version (Versión del documento) esté establecido como la versión que desea ejecutar. El sistema incluye las siguientes opciones de versión:

    • Default version at runtime (Versión predeterminada en tiempo de ejecución): seleccione esta opción si el manual de procedimientos de automatización se actualiza de forma periódica y se asigna una nueva versión predeterminada.

    • Latest version at runtime (Última versión en tiempo de ejecución): seleccione esta opción si el manual de procedimientos de automatización se actualiza de forma periódica y desea ejecutar la versión que se ha actualizado más recientemente.

    • 1 (Default) (1 [Predeterminado]): seleccione esta opción para ejecutar la primera versión del documento, que es la predeterminada.

  5. Elija Siguiente.

  6. En la página Execute automation document (Ejecutar documento de automatización), elija Multi-account and Region (Varias cuentas y regiones).

  7. En la sección Target accounts and Regions (Cuentas y regiones de destino), utilice el campo Accounts and organizational (OUs) (Cuentas y organizaciones [OU]) para especificar las diferentes Cuentas de AWS o unidades organizativas de AWS donde desea ejecutar la automatización. Si indica varias cuentas u OU, sepárelas con comas.

  8. Utilice la lista de Regiones de AWS para elegir una o más regiones en las que desee ejecutar la automatización.

  9. Utilice las opciones Multi-Region and account rate control (Control de frecuencia de varias regiones y cuentas) para restringir la automatización a un número limitado de cuentas que se ejecutan en un número limitado de regiones. Estas opciones no restringen el número de recursos de AWS que pueden ejecutar las automatizaciones.

    1. En la sección Location (account-Region pair) concurrency (Simultaneidad de ubicación [par de cuenta-región]), seleccione una opción para restringir el número de automatizaciones que se pueden ejecutar en varias cuentas y regiones al mismo tiempo. Por ejemplo, si decide ejecutar una automatización en cinco (5) Cuentas de AWS, que se encuentran en cuatro (4) Regiones de AWS, Systems Manager ejecuta las automatizaciones en un total de 20 pares de cuenta-región. Puede utilizar esta opción para especificar un número absoluto, como 2, para que la automatización solo se ejecute en dos pares de cuenta-región a la vez. También puede especificar un porcentaje de pares cuenta-región que se pueden ejecutar al mismo tiempo. Por ejemplo, con 20 pares de cuenta-región, si especifica un 20 %, la automatización se ejecuta de manera simultánea en un máximo de cinco (5) pares de cuenta-región.

      • Elija targets (destinos) para ingresar un número absoluto de pares de cuenta-región que pueden ejecutar la automatización simultáneamente.

      • Elija percent (porcentaje) para ingresar un porcentaje del número total de pares de cuenta-región que pueden ejecutar la automatización simultáneamente.

    2. En la sección Error threshold (Umbral de error), elija una opción:

      • Elija errors (errores) para ingresar un número absoluto de errores permitidos antes de que Automation deje de enviar la automatización a otros recursos.

      • Elija percent (porcentaje) para ingresar un porcentaje de errores permitidos antes de que Automation deje de enviar la automatización a otros recursos.

  10. En la sección Targets (Destinos), seleccione cómo quiere que se indiquen los recursos de AWS donde desea ejecutar la automatización como destino. Estas opciones son obligatorias.

    1. Use la lista Parameter (Parámetro) para elegir un parámetro. Los elementos de la lista Parameter (Parámetro) se determinan a partir de los parámetros en el manual de procedimientos de Automation que seleccionó al inicio de este procedimiento. Al elegir un parámetro, se define el tipo de recurso en el que se ejecuta el flujo de trabajo de automatización.

    2. Utilice la lista Targets (Destinos) para elegir cómo indicar los recursos de destino.

      1. Si eligió indicar recursos como destino mediante el uso de valores de parámetro, ingrese el valor del parámetro que eligió en la sección Input parameters (Parámetros de entrada).

      2. Si eligió los recursos de destino con AWS Resource Groups, entonces elija el nombre del grupo de la lista Resource Group (Grupo de recursos).

      3. Si eligió indicar recursos de destino mediante el uso de etiquetas, introduzca la clave de etiqueta y, opcionalmente, un valor de etiqueta en los campos correspondientes. Elija Add (Agregar).

      4. Si desea ejecutar un manual de procedimientos de Automatización en todas las instancias de la Cuenta de AWS y la Región de AWS actuales, seleccione All instances (Todas las instancias).

  11. En la sección Input parameters (Parámetros de entrada), especifique las entradas necesarias: De forma opcional, puede elegir un rol de servicio AWS-SystemsManager-AutomationAdministrationRole de IAM de la lista AutomationAssumeRole.

    nota

    Es posible que no tenga que elegir algunas de las opciones de la sección Input parameters (Parámetros de entrada). Esto se debe a que ha indicado recursos de destino en varias regiones y cuentas mediante etiquetas o un grupo de recursos. Por ejemplo, si eligió el manual de procedimientos AWS-RestartEC2Instance, no necesita especificar ni elegir los ID de instancias en la sección Input parameters (Parámetros de entrada). La automatización localiza las instancias que desea reiniciar a través de las etiquetas que ha especificado.

  12. (Opcional) Elija una alarma de CloudWatch que desee aplicar a la automatización para fines de monitoreo. Para adjuntar una alarma de CloudWatch a su automatización, la entidad principal de IAM que ejecuta esta última debe tener permiso para la acción iam:createServiceLinkedRole. Para obtener más información sobre las alarmas de CloudWatch, consulte Uso de alarmas de Amazon CloudWatch. Tenga en cuenta que si la alarma se activa, la automatización se cancela y se ejecutará cualquier paso OnCancel que haya definido. Si usa AWS CloudTrail, verá la llamada a la API en el registro de seguimiento.

  13. Utilice las opciones de la sección Rate control (Control de frecuencia) para restringir el número de recursos de AWS que pueden ejecutar la automatización dentro de cada par de cuenta-región.

    En la sección Concurrency (Simultaneidad), elija una opción:

    • Seleccione targets (destinos) para introducir un número absoluto de destinos que pueden ejecutar el flujo de trabajo de Automation simultáneamente.

    • Seleccione percentage (porcentaje) para introducir un porcentaje del destino definido que puede ejecutar el flujo de trabajo de Automation simultáneamente.

  14. En la sección Error threshold (Umbral de error), elija una opción:

    • Elija errors (errores) para introducir un número absoluto de errores permitidos antes de que Automation deje de enviar el flujo de trabajo a otros recursos.

    • Elija percentage (porcentaje) para introducir un porcentaje de errores permitidos antes de que Automation deje de enviar el flujo de trabajo a otros recursos.

  15. Elija Execute (Ejecutar).

Ejecución de Automatización en varias regiones y cuentas (línea de comandos)

El siguiente procedimiento describe cómo utilizar la AWS CLI (en Linux o Windows) o las AWS Tools for PowerShell para ejecutar la automatización en varias regiones y cuentas desde la cuenta de administración de Automation.

Antes de empezar

Antes de completar el siguiente procedimiento, tenga en cuenta la siguiente información:

  • las OU o los ID de la Cuenta de AWS donde desee ejecutar la automatización

  • las regiones admitidas por Systems Manager en las que desea ejecutar la automatización

  • la clave y el valor de la etiqueta, o el nombre del grupo de recursos donde desea ejecutar la automatización

Para ejecutar una automatización en varias regiones y cuentas

  1. Si aún no lo ha hecho, instale y configure la AWS CLI o las AWS Tools for PowerShell.

    Para obtener información, consulte Instalación o actualización de la última versión de la AWS CLI e Instalación de AWS Tools for PowerShell.

  2. Utilice el siguiente formato a fin de crear un comando para ejecutar una automatización en varias regiones y cuentas. Reemplace cada example resource placeholder con su propia información.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name runbook name \
        --parameters AutomationAssumeRole=arn:aws:iam::management account ID:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name parameter name \
        --targets Key=tag key,Values=value \
        --target-locations Accounts=account ID,account ID 2,Regions=Region,Region 2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name runbook name ^
        --parameters AutomationAssumeRole=arn:aws:iam::management account ID:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name parameter name ^
        --targets Key=tag key,Values=value ^
        --target-locations Accounts=account ID,account ID 2,Regions=Region,Region 2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "tag key"
    $Targets.Values = "value"
    
    Start-SSMAutomationExecution `
        -DocumentName "runbook name" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::management account ID:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "parameter name" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="account ID","account ID 2";
        "Regions"="Region","Region 2";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    A continuación, se presentan varios ejemplos.

    Ejemplo 1: este ejemplo reinicia las instancias EC2 en las cuentas 123456789012 y 987654321098, que se encuentran en las regiones us-east-2 y us-west-1. Las instancias deben estar etiquetadas con el valor de par de claves de etiqueta Env-PROD.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name AWS-RestartEC2Instance \
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name InstanceId \
        --targets Key=tag:Env,Values=PROD \
        --target-locations Accounts=123456789012,987654321098,Regions=us-east-2,us-west-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name AWS-RestartEC2Instance ^
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name InstanceId ^
        --targets Key=tag:Env,Values=PROD ^
        --target-locations Accounts=123456789012,987654321098,Regions=us-east-2,us-west-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "tag:Env"
    $Targets.Values = "PROD"
    
    Start-SSMAutomationExecution `
        -DocumentName "AWS-RestartEC2Instance" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "InstanceId" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="123456789012","987654321098";
        "Regions"="us-east-2","us-west-1";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    Ejemplo 2: este ejemplo reinicia las instancias EC2 en las cuentas 123456789012 y 987654321098, que se encuentran en la región eu-central-1. Las instancias deben pertenecer al grupo de recursos prod-instances de AWS.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name AWS-RestartEC2Instance \
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name InstanceId \
        --targets Key=ResourceGroup,Values=prod-instances \
        --target-locations Accounts=123456789012,987654321098,Regions=eu-central-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name AWS-RestartEC2Instance ^
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name InstanceId ^
        --targets Key=ResourceGroup,Values=prod-instances ^
        --target-locations Accounts=123456789012,987654321098,Regions=eu-central-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "ResourceGroup"
    $Targets.Values = "prod-instances"
    
    Start-SSMAutomationExecution `
        -DocumentName "AWS-RestartEC2Instance" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "InstanceId" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="123456789012","987654321098";
        "Regions"="eu-central-1";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    Ejemplo 3: este ejemplo reinicia las instancias EC2 de la unidad organizativa ou-1a2b3c-4d5e6cAWS. Las instancias se encuentran en las regiones us-west-1 y us-west-2. Las instancias deben pertenecer al grupo de recursos WebServices de AWS.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name AWS-RestartEC2Instance \
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name InstanceId \
        --targets Key=ResourceGroup,Values=WebServices \
        --target-locations Accounts=ou-1a2b3c-4d5e6c,Regions=us-west-1,us-west-2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name AWS-RestartEC2Instance ^
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name InstanceId ^
        --targets Key=ResourceGroup,Values=WebServices ^
        --target-locations Accounts=ou-1a2b3c-4d5e6c,Regions=us-west-1,us-west-2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "ResourceGroup"
    $Targets.Values = "WebServices"
    
    Start-SSMAutomationExecution `
        -DocumentName "AWS-RestartEC2Instance" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "InstanceId" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="ou-1a2b3c-4d5e6c";
        "Regions"="us-west-1";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    El sistema devuelve información similar a la siguiente.

    Linux & macOS
    {
        "AutomationExecutionId": "4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE"
    }
    Windows
    {
        "AutomationExecutionId": "4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE"
    }
    PowerShell
    4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE

  3. Ejecute el siguiente comando para ver detalles de la automatización. Reemplace automation execution ID con su propia información.

    Linux & macOS
    aws ssm describe-automation-executions \
        --filters Key=ExecutionId,Values=automation execution ID
    Windows
    aws ssm describe-automation-executions ^
        --filters Key=ExecutionId,Values=automation execution ID
    PowerShell
    Get-SSMAutomationExecutionList | `
        Where {$_.AutomationExecutionId -eq "automation execution ID"}

  4. Ejecute el siguiente comando para ver detalles sobre el progreso de la automatización.

    Linux & macOS
    aws ssm get-automation-execution \
        --automation-execution-id 4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE
    Windows
    aws ssm get-automation-execution ^
        --automation-execution-id 4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE
    PowerShell
    Get-SSMAutomationExecution `
        -AutomationExecutionId a4a3c0e9-7efd-462a-8594-01234EXAMPLE
    nota

    También puede monitorear el estado de la automatización en la consola. En la lista Automation executions (Ejecuciones de automatización), elija la automatización que acaba de ejecutar y, a continuación, seleccione la pestaña Execution steps (Pasos de ejecución). Esta pestaña muestra el estado de las acciones de la automatización.

Más información

Aplicación de revisiones centralizada en varias cuentas y regiones con AWS Systems Manager Automation