Créez les rôles de service pour Automation à l'aide de la console - AWS Systems Manager
Tâche 1 : Création d'un rôle de service pour AutomationTâche 2 : associer la PassRole politique iam : à votre rôle d'automatisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez les rôles de service pour Automation à l'aide de la console

Si vous devez créer un rôle de service pour Automation, une fonctionnalité de AWS Systems Manager, effectuez les tâches suivantes. Pour plus d'informations sur le moment où un rôle de service est requis pour Automation, consultez Configuration d'Automation.

Tâche 1 : Création d'un rôle de service pour Automation

Utilisez la procédure suivante pour créer un rôle de service (ou endosser un rôle) pour Systems Manager Automation.

Note

Vous pouvez également utiliser ce rôle dans des runbooks, notamment le runbook AWS-CreateManagedLinuxInstance. L'utilisation de ce rôle, ou du nom de ressource Amazon (ARN) d'un rôle AWS Identity and Access Management (IAM), dans les runbooks permet à Automation d'effectuer des actions dans votre environnement, telles que le lancement de nouvelles instances et des actions en votre nom.

Pour créer un IAM rôle et permettre à Automation de l'assumer

  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, sélectionnez Rôles, puis Créer un rôle.

  3. Sous Select type of trusted entity, sélectionnez AWS service.

  4. Dans la section Choisir un cas d'utilisation sélectionnez Systems Manager, puis sélectionnez Suivant : Autorisations.

  5. Sur la page Politique d'autorisations attachée, recherchez la politique A mazonSSMAutomation Role, choisissez-la, puis choisissez Suivant : Révision.

  6. Sur la page Review (Vérification), saisissez un nom dans la zone Role name (Nom du rôle), puis saisissez une description.

  7. Sélectionnez Créer un rôle. Le système vous renvoie à la page Rôles.

  8. Sur la page Rôles, sélectionnez le rôle que vous venez de créer pour ouvrir la page Récapitulatif. Notez le nom et le rôle du rôle ARN. Vous spécifierez le rôle ARN lorsque vous associerez l'iam : PassRole policy à votre IAM compte lors de la procédure suivante. Vous pouvez également spécifier le nom du rôle et le ARN dans les runbooks.

Note

La AmazonSSMAutomationRole politique attribue l'autorisation du rôle Automation à un sous-ensemble de AWS Lambda fonctions de votre compte. Ces fonctions commencent par « Automation ». Si vous envisagez d'utiliser Automation avec des fonctions Lambda, le Lambda ARN doit utiliser le format suivant :

"arn:aws:lambda:*:*:function:Automation*"

Si vous avez des fonctions Lambda existantes qui ARNs n'utilisent pas ce format, vous devez également associer une politique Lambda supplémentaire à votre rôle d'automatisation, telle que la politique. AWSLambdaRole La politique ou le rôle supplémentaire doit fournir un accès plus large aux fonctions Lambda au sein du Compte AWS.

Après avoir créé votre fonction du service, nous vous recommandons de modifier la politique d'approbation afin d'éviter le problème de député confus entre services. Le problème de député confus est un problème de sécurité dans lequel une entité qui n'est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner un problème de confusion chez les adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le service appelant) appelle un autre service (le service appelé). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé d’accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services auprès des principaux fournisseurs de services qui ont obtenu l'accès aux ressources de votre compte.

Nous vous recommandons d'utiliser les clés de contexte de condition globale aws:SourceArn et aws:SourceAccount dans les politiques de ressources pour limiter les autorisations à la ressource octroyées par Automation à un autre service. Si la aws:SourceArn valeur ne contient pas l'ID de compte, tel qu'un compartiment Amazon S3ARN, vous devez utiliser les deux clés de contexte de condition globale pour limiter les autorisations. Si vous utilisez les deux clés de contexte de condition globale et que la valeur aws:SourceArn contient l'ID de compte, la valeur aws:SourceAccount et le compte dans la valeur aws:SourceArn doivent utiliser le même ID de compte lorsqu'ils sont utilisés dans la même instruction de politique. Utilisez aws:SourceArn si vous souhaitez qu'une seule ressource soit associée à l'accès entre services. Utilisez aws:SourceAccount si vous souhaitez autoriser l’association d’une ressource de ce compte à l’utilisation interservices. La valeur de aws:SourceArn doit être égale à ARN pour les exécutions automatisées. Si vous ne connaissez pas l'intégralité ARN de la ressource ou si vous spécifiez plusieurs ressources, utilisez la clé de condition contextuelle aws:SourceArn globale avec des caractères génériques (*) pour les parties inconnues duARN. Par exemple, arn:aws:ssm:*:123456789012:automation-execution/*.

L'exemple suivant montre comment utiliser les clés de contexte de condition globale aws:SourceArn et aws:SourceAccount pour Automation afin d'éviter le problème du député confus.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "ssm.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:ssm:*:123456789012:automation-execution/*"
        }
      }
    }
  ]
}
Pour modifier la politique d'approbation du rôle

  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Rôles.

  3. Dans la liste des rôles de votre compte, sélectionnez le nom de votre rôle de service Automation.

  4. Sélectionnez l'onglet Relations d'approbation, puis Modifier la relation d'approbation.

  5. Modifiez la politique d'approbation à l'aide des clés de contexte de condition globale aws:SourceArn et aws:SourceAccount pour Automation afin d'éviter tout problème de député confus.

  6. Pour enregistrer vos modifications, sélectionnez Update Trust Policy (Mettre à jour la politique d'approbation).

(Facultatif) Ajoutez une politique d'automatisation en ligne ou une politique gérée par le client pour invoquer d'autres Services AWS

Si vous exécutez une automatisation qui en invoque d'autres Services AWS en utilisant un rôle de IAM service, le rôle de service doit être configuré avec l'autorisation d'appeler ces services. Cette exigence s'applique à tous les runbooks AWS Automation (AWS-*runbooks) tels que, et AWS-RestartEC2Instance runbooks AWS-ConfigureS3BucketLoggingAWS-CreateDynamoDBBackup, pour n'en nommer que quelques-uns. Cette exigence s'applique également à tous les runbooks personnalisés que vous créez qui appellent d'autres Services AWS à l'aide d'actions qui appellent d'autres services. Par exemple, si vous utilisez les actions aws:executeAwsApi, aws:CreateStack ou aws:copyImage, pour n'en citer que quelques-unes, vous devez configurer le rôle de service avec l'autorisation d'appeler ces services. Vous pouvez accorder des autorisations à d'autres Services AWS personnes en ajoutant une politique IAM intégrée ou une politique gérée par le client au rôle.

Pour intégrer une politique intégrée pour un rôle de service (console) IAM

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Rôles.

  3. Dans la liste, sélectionnez le nom du rôle que vous souhaitez modifier.

  4. Sélectionnez l'onglet Autorisations.

  5. Dans le menu déroulant Ajouter des autorisations, choisissez Joindre des politiques ou Créer une politique en ligne.

  6. Si vous choisissez Joindre des politiques, cochez la case située à côté de la politique que vous souhaitez ajouter et choisissez Ajouter des autorisations.

  7. Si vous choisissez Créer une politique intégrée, JSONcliquez sur l'onglet.

  8. Entrez un document JSON de politique pour le que Services AWS vous souhaitez invoquer. Voici deux exemples de documents JSON de politique.

    Amazon S3 PutObject et GetObject exemple

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}

    Amazon EC2 CreateSnapshot et DescribeSnapShots Example

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ec2:CreateSnapshot",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":"ec2:DescribeSnapshots",
         "Resource":"*"
      }
   ]
}

    Pour plus de détails sur le langage IAM de la politique, voir IAMJSONla référence des politiques dans le guide de IAM l'utilisateur.

  9. Lorsque vous avez terminé, sélectionnez Review policy (Examiner une politique). Le programme de validation de politique signale les éventuelles erreurs de syntaxe.

  10. Sur la page Review policy (Examiner une politique), saisissez un Name (Nom) pour la politique que vous êtes en train de créer. Vérifiez le récapitulatif de politique pour voir les autorisations accordées par votre politique. Sélectionnez ensuite Créer une politique pour enregistrer votre travail.

  11. Une fois que vous avez créé une politique en ligne, elle est automatiquement intégrée à votre rôle.

Tâche 2 : associer la PassRole politique iam : à votre rôle d'automatisation

Utilisez la procédure suivante pour attacher la politique iam:PassRole à votre rôle de service Automation. Cela permet au service Automation de transmettre le rôle à d'autres services ou fonctionnalités de Systems Manager lors de l'exécution d'automatisations.

Pour associer la PassRole politique iam : à votre rôle d'automatisation

  1. Dans la page Récapitulatif du rôle que vous venez de créer, sélectionnez l'onglet Autorisations.

  2. Sélectionnez Ajouter une politique en ligne.

  3. Dans la page Créer une politique, sélectionnez l'onglet Éditeur visuel.

  4. Choisissez Service, puis choisissez IAM.

  5. Sélectionnez Sélectionner des actions.

  6. Dans la zone de texte Actions de filtragePassRole, tapez, puis choisissez l'PassRoleoption.

  7. Sélectionnez Ressources. Vérifiez que Spécifique est sélectionné, puis choisissez Ajouter ARN.

  8. Dans le champ Spécifier ARN le rôle, collez le rôle d'automatisation ARN que vous avez copié à la fin de la tâche 1. Le système remplit automatiquement les champs Compte et Role name with path (Nom du rôle avec chemin d'accès).

    Note

    Si vous souhaitez que le rôle de service Automation attache un IAM rôle de profil d'EC2instance à une instance, vous devez ajouter le rôle ARN de profil d'IAMinstance. Cela permet au rôle de service Automation de transmettre le rôle de profil d'IAMinstance à l'EC2instance cible.

  9. Choisissez Ajouter.

  10. Sélectionnez Review policy (Examiner une politique).

  11. Sur la page Review Policy (Examiner une politique), saisissez un nom, puis sélectionnez Create Policy (Créer une politique).