Méthode 1 : Utiliser AWS CloudFormation pour configurer un rôle de service pour Automation - AWS Systems Manager
Création du rôle de service via AWS CloudFormationCopier les informations de rôle pour Automation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Méthode 1 : Utiliser AWS CloudFormation pour configurer un rôle de service pour Automation

Vous pouvez créer un rôle de service pour Automation, une fonctionnalité de AWS Systems Manager, à partir d'un modèle AWS CloudFormation. Après avoir créé le rôle de service, vous pouvez spécifier le rôle de service dans les runbooks à l'aide du paramètre AutomationAssumeRole.

Création du rôle de service via AWS CloudFormation

Utilisez la procédure suivante pour créer les rôles AWS Identity and Access Management (IAM) requis pour Systems Manager Automation à l'aide de AWS CloudFormation.

Pour créer le rôle IAM requis

  1. Téléchargez et décompressez le fichier AWS-SystemsManager-AutomationServiceRole.zip. Ce fichier inclut le fichier modèle AWS CloudFormation AWS-SystemsManager-AutomationServiceRole.yaml.

  2. Ouvrez la console AWS CloudFormation à l'adresse https://console.aws.amazon.com/cloudformation.

  3. Sélectionnez Create Stack (Créer une pile).

  4. Dans la section Spécifier un modèle, sélectionnez Charger un modèle de fichier.

  5. Sélectionnez Browse (Parcourir), puis sélectionnez le fichier modèle AWS CloudFormation AWS-SystemsManager-AutomationServiceRole.yaml.

  6. Sélectionnez Suivant.

  7. Dans la section Spécifier les détails, entrez un nom dans le champ Nom de la pile.

  8. Sur la page Configurer les options de pile, vous n'avez pas besoin d'effectuer de sélections. Sélectionnez Suivant.

  9. Faites défiler la page Vérification vers le bas et sélectionnez l'option Je comprends qu'AWS CloudFormation peut créer des ressources IAM.

  10. Sélectionnez Create (Créer).

CloudFormation affiche le statut CREATE_IN_PROGRESS pendant environ trois minutes. Le statut devient CREATE_COMPLETE une fois que la pile a été créée et que vos rôles sont prêts à être utilisés.

Important

Si vous exécutez un flux de travail d'automatisation qui appelle d'autres services à l'aide d'un rôle de service AWS Identity and Access Management (IAM), le rôle de service doit être configuré avec l'autorisation d'appeler ces services. Cette exigence s'applique à tous les runbooks Automation d'AWS (runbooks AWS-*) tels que les runbooks AWS-ConfigureS3BucketLogging, AWS-CreateDynamoDBBackup et AWS-RestartEC2Instance, par exemple. Cette exigence s'applique également à tous les runbooks Automation personnalisés que vous créez qui appellent d'autres Services AWS à l'aide d'actions qui appellent d'autres services. Par exemple, si vous utilisez les actions aws:executeAwsApi, aws:createStack ou aws:copyImage, vous devez configurer le rôle de service avec l'autorisation d'appeler ces services. Vous pouvez octroyer des autorisations à d'autres Services AWS en ajoutant une politique IAM en ligne au rôle. Pour de plus amples informations, veuillez consulter (Facultatif) Ajoutez une politique d'automatisation en ligne ou une politique gérée par le client pour invoquer d'autres Services AWS.

Copier les informations de rôle pour Automation

Utilisez la procédure suivante pour copier des informations relatives au rôle de service Automation à partir de la console AWS CloudFormation. Vous devez spécifier ces rôles lorsque vous utilisez un runbook.

Note

Vous n'avez pas besoin de copier les informations du rôle en utilisant cette procédure si vous exécutez les runbooks AWS-UpdateLinuxAmi ou AWS-UpdateWindowsAmi. Ces runbooks possèdent déjà les rôles requis spécifiés comme valeurs par défaut. Ces rôles spécifiés dans ces runbooks utilisant des politiques gérées IAM.

Pour copier les noms de rôle

  1. Ouvrez la console AWS CloudFormation à l'adresse https://console.aws.amazon.com/cloudformation.

  2. Sélectionnez le Nom de la pile d'automatisation que vous avez créé lors de la procédure précédente.

  3. Sélectionnez l'onglet Ressources.

  4. Sélectionnez le lien ID physique pour AutomationServiceRole. La console IAM ouvre un récapitulatif du rôle de service Automation.

  5. Copiez l'Amazon Resource Name (ARN) en regard de l'ARN de rôle. L'ARN est similaire à ce qui suit : arn:aws:iam::12345678:role/AutomationServiceRole

  6. Collez l'ARN dans un fichier texte à utiliser ultérieurement.

La configuration du rôle de service pour Automation est terminée. Vous pouvez désormais utiliser l'ARN du rôle de service Automation dans vos runbooks.