Exécution d'automatisations dans plusieurs régions et comptes Régions AWS - AWS Systems Manager
Configuration des autorisations du compte de gestion pour l'exécution d'automatisations entre plusieurs régions et plusieurs comptesExécuter une automatisation dans plusieurs comptes et régions (console)Exécuter Automation dans plusieurs comptes et régions (ligne de commande)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exécution d'automatisations dans plusieurs régions et comptes Régions AWS

L'exécution des automatisations AWS Systems Manager sur plusieurs Régions AWS et Comptes AWS ou AWS Organizations unités organisationnelles à partir d'un compte central. Automation est une fonctionnalité de AWS Systems Manager. Exécuter des automatisations dans plusieurs régions et comptes ou unités organisationnelles permet de réduire le temps nécessaire pour administrer vos ressources AWS, tout en renforçant la sécurité de votre environnement informatique.

Par exemple, vous pouvez effectuer les opérations suivantes à l'aide de runbooks Automation :

  • Implémentation des correctifs ainsi que des mises à jour de sécurité de manière centralisée.

  • Correction des écarts de conformité des configurations de VPC ou des politiques de compartiment Amazon S3.

  • Gestion des ressources, telles que des instances Amazon Elastic Compute Cloud (Amazon EC2) EC2 à grande échelle.

Le graphique suivant illustre un exemple d'utilisateur exécutant le runbook AWS-RestartEC2Instances dans plusieurs régions et comptes à partir d'un compte central. L'automatisation localise les instances à l'aide des balises définies dans les régions et les comptes ciblés.

Note

Lorsque vous exécutez l'automatisation dans plusieurs régions et comptes, vous ciblez les ressources à l'aide de balises ou du nom d'un groupe de ressources AWS. Le groupe de ressources doit exister dans chaque compte et chaque région cibles. Le nom du groupe de ressources doit être le même dans chaque compte et dans chaque région ciblés. L'automatisation ne peut pas s'exécuter sur les ressources pour lesquelles aucune balise n'a été spécifiée ou qui ne sont pas incluses dans le groupe de ressources défini.

Illustration présentant l'exécution de Systems Manager Automation dans plusieurs régions et comptes.
Choisissez un compte central pour Automation

Si vous souhaitez exécuter des automatisations sur plusieurs unités d'organisation, le compte central doit disposer des autorisations nécessaires afin de répertorier tous les comptes dans les unités d'organisation. Cette exécution n'est possible qu'à partir d'un compte administrateur délégué ou du compte de gestion de l'organisation. Nous vous recommandons de suivre les bonnes pratiques AWS Organizations et d'utiliser un compte administrateur délégué. Pour de plus amples informations sur les bonnes pratiques AWS Organizations, consultez Bonnes pratiques relatives au compte de gestion dans le Guide de l'utilisateur AWS Organizations. Pour créer un compte d'administrateur délégué pour Systems Manager, utilisez la commande register-delegated-administrator avec la AWS CLI comme indiqué dans l'exemple suivant.

aws organizations register-delegated-administrator \
    --account-id delegated admin account ID \
    --service-principal ssm.amazonaws.com

Si vous souhaitez exécuter des automatisations sur plusieurs comptes non gérés par AWS Organizations, nous vous recommandons de créer un compte dédié à la gestion de l'automatisation. L'exécution de toutes les automatisations inter-comptes à partir d'un compte dédié simplifie la gestion des autorisations IAM, les efforts de dépannage et crée une couche de séparation entre les opérations et l'administration. Cette approche est également recommandée si vous utilisez AWS Organizations, mais souhaite uniquement cibler des comptes individuels et non des unités d'organisation.

Le fonctionnement de l'exécution des automatisations

L'exécution d'automatisations dans plusieurs régions et comptes ou unités organisationnelles fonctionne comme suit :

  1. Vérifiez que toutes les ressources sur lesquelles vous souhaitez exécuter l'automatisation, dans l'ensemble des régions et comptes ou unités organisationnelles, utilisent des balises identiques. Si ce n'est pas le cas, vous pouvez les ajouter à un groupe de ressources AWS et cibler ce groupe. Pour plus d'informations, consultez Que sont les groupes de ressources? dans le AWS Resource Groups le guide de l'utilisateur et des balises.

  2. Connectez-vous au compte que vous souhaitez configurer en tant que compte central de l'automatisation.

  3. Utilisez le Configuration des autorisations du compte de gestion pour l'exécution d'automatisations entre plusieurs régions et plusieurs comptes procédure décrite dans cette rubrique afin de créer le second role IAM:

    • AWS-SystemsManager-AutomationAdministrationRole - Ce rôle donne à l'utilisateur l'autorisation d'exécuter des automatisations dans plusieurs comptes et unités organisationnelles.

    • AWS-SystemsManager-AutomationExecutionRole - Ce rôle donne à l'utilisateur l'autorisation d'exécuter des automatisations dans plusieurs comptes et unités organisationnelles.

  4. Sélectionnez le runbook, les régions et les comptes ou unités organisationnelles dans lesquels vous souhaitez exécuter l'automatisation.

    Note

    Les automatisations ne s'exécutent pas de manière récursive via les unités d'organisation. Assurez-vous que l'unité d'organisation cible contient les comptes souhaités. Si vous sélectionnez un runbook personnalisé, il doit être partagé avec tous les comptes cibles. Pour obtenir des informations sur le partage des runbooks, consultez Partage de documents SSM. Pour obtenir des informations sur l'utilisation de runbooks partagés, consultez Utilisation de documents SSM partagés.

  5. Exécutez l'automatisation.

    Note

    Lorsque vous exécutez des automatisations sur plusieurs régions, comptes ou unités organisationnelles, l'automatisation que vous exécutez à partir du compte principal démarre des automatisations enfants dans chacun des comptes cibles. L'automatisation dans le compte principal comprendra des étapes aws:executeAutomation pour chacun des comptes cibles. Si vous démarrez une automatisation à partir de nouvelles régions lancées après le 20 mars 2019 et que vous ciblez une région activée par défaut, l'automatisation échoue. Si vous démarrez une automatisation à partir d'une région activée par défaut et que vous ciblez une région que vous avez activée, l'automatisation s'exécute correctement.

  6. Utilisez les opérations d'API GetAutomationExecution, DescribeAutomationStepExecutions, et DescribeAutomationExecutions à partir de la console AWS Systems Manager ou de la AWS CLI afin de contrôler la progression de l'automatisation. La sortie des étapes de l'automatisation dans votre compte principal sera l'AutomationExecutionId des automations enfants. Pour afficher la sortie des automatisations enfants créées dans vos comptes cibles, spécifiez bien le compte, la région et AutomationExecutionId correspondants, dans votre demande.

Configuration des autorisations du compte de gestion pour l'exécution d'automatisations entre plusieurs régions et plusieurs comptes

Utilisez la procédure suivante pour créer les rôles IAM requis pour l'exécution de Systems Manager Automation dans plusieurs régions et plusieurs comptes avec AWS CloudFormation. Cette procédure décrit la création du rôle AWS-SystemsManager-AutomationAdministrationRole. Créez uniquement ce rôle dans le compte central d'automatisation. Cette procédure décrit également la création du rôle AWS-SystemsManager-AutomationExecutionRole. Vous devez créer ce rôle dans chaque compte que vous souhaitez cibler pour exécuter les automatisations dans plusieurs régions et plusieurs comptes. Nous vous recommandons d'utiliser AWS CloudFormation StackSets pour créer le rôle AWS-SystemsManager-AutomationExecutionRole dans les comptes que vous voulez cibler pour exécuter des automatisations dans plusieurs régions et plusieurs comptes.

Pour créer les rôles IAM requis pour les automatisations multi-régions et multi-comptes à l'aide de AWS CloudFormation

  1. Téléchargez et compressez le AWS-SystemsManager-AutomationAdministrationRole.zip. Ou, si vos comptes sont gérés par AWS Organizations AWS-SystemsManager-AutomationAdministrationRole (org).zip. Ce fichier contient le fichier de modèle AWS CloudFormation AWS-SystemsManager-AutomationAdministrationRole.yaml.

  2. Ouvrez la console AWS CloudFormation à l'adresse https://console.aws.amazon.com/cloudformation.

  3. Sélectionnez Créer une pile.

  4. Dans la section Specify template (Spécifier un modèle), sélectionnez Upload a template (Charger un modèle).

  5. Sélectionnez Choose file (Choisir un fichier) et sélectionnez le fichier modèle AWS CloudFormation AWS-SystemsManager-AutomationAdministrationRole.yaml.

  6. Sélectionnez Suivant.

  7. Dans la section Spécifier les détails, entrez un nom dans le champ Nom de la pile.

  8. Choisissez Next (Suivant).

  9. Sur la page Configure stack options (Configurer les options de pile), saisissez des valeurs pour les options que vous souhaitez utiliser. Sélectionnez Suivant.

  10. Dans la page Review (Vérification), défilez vers le bas et choisissez l'option I acknowledge that AWS CloudFormation might create IAM resources with custom names (Je reconnais que CFN peut créer des ressources IAM avec des noms personnalisés).

  11. Sélectionnez Créer une pile.

AWS CloudFormation affiche le statut CREATE_IN_PROGRESS pendant environ trois minutes. Le statut passe à CREATE_COMPLETE.

Répétez la procédure suivante dans chaque compte que vous souhaitez cibler pour exécuter les automatisations multi-régions et multi-comptes.

Pour créer les rôles IAM requis pour les automatisations multi-régions et multi-comptes à l'aide de AWS CloudFormation

  1. Téléchargez AWS-SystemsManager-AutomationExecutionRole.zip. Ou, si vos comptes sont gérés par AWS Organizations AWS-SystemsManager-AutomationExecutionRole (org).zip. Ce fichier contient le fichier de modèle AWS CloudFormation AWS-SystemsManager-AutomationExecutionRole.yaml.

  2. Ouvrez la console AWS CloudFormation à l'adresse https://console.aws.amazon.com/cloudformation.

  3. Sélectionnez Créer une pile.

  4. Dans la section Specify template (Spécifier un modèle), sélectionnez Upload a template (Charger un modèle).

  5. Sélectionnez Choose file (Choisir un fichier) et sélectionnez le fichier modèle AWS CloudFormation AWS-SystemsManager-AutomationExecutionRole.yaml.

  6. Sélectionnez Suivant.

  7. Dans la section Spécifier les détails, entrez un nom dans le champ Nom de la pile.

  8. Dans la section Parameters (Paramètres), dans le champ AdminAccountId, saisissez l'identifiant du compte central Automation.

  9. Si vous configurez ce rôle pour un environnement AWS Organizations, il existe un autre champ dans la section appelée OrganizationID. Entrez l'identifiant de votre organisation AWS.

  10. Choisissez Next (Suivant).

  11. Sur la page Configure stack options (Configurer les options de pile), saisissez des valeurs pour les options que vous souhaitez utiliser. Sélectionnez Suivant.

  12. Dans la page Review (Vérification), défilez vers le bas et choisissez l'option I acknowledge that AWS CloudFormation might create IAM resources with custom names (Je reconnais que CFN peut créer des ressources IAM avec des noms personnalisés).

  13. Sélectionnez Créer une pile.

AWS CloudFormation affiche le statut CREATE_IN_PROGRESS pendant environ trois minutes. Le statut passe à CREATE_COMPLETE.

Exécuter une automatisation dans plusieurs comptes et régions (console)

La procédure suivante décrit comment utiliser la console Systems Manager pour exécuter une automatisation dans plusieurs régions et comptes à partir du compte de gestion Automation.

Avant de commencer

Avant d'exécuter la procédure suivante, notez les informations suivantes :

  • L'utilisateur ou le rôle que vous utilisez pour exécuter Automation dans plusieurs régions ou plusieurs comptes doit disposer de l'autorisation iam:PassRole pour le rôle AWS-SystemsManager-AutomationAdministrationRole.

  • ID de Compte AWS ou unités organisationnelles dans lesquels vous souhaitez exécuter l'automatisation.

  • Régions prises en charge par Systems Manager où vous souhaitez exécuter l'automatisation.

  • La clé de balise et la valeur de balise ou le nom du groupe de ressources, où vous souhaitez exécuter l'automatisation.

Pour exécuter une automatisation dans plusieurs comptes et régions

  1. Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Automation (Automatisation), puis Execute automation (Exécuter l'automatisation).

  3. Dans la liste Automation document (Document Automation), sélectionnez un runbook. Sélectionnez une ou plusieurs options dans le panneau Document categories (Catégories de documents) pour filtrer les documents SSM en fonction de leur but. Pour afficher un runbook vous appartenant, sélectionnez l'onglet Owned by me (M'appartenant). Pour afficher un runbook partagé avec votre compte, sélectionnez l'onglet Shared with me (Partagé avec moi). Pour afficher tous les runbooks, sélectionnez l'onglet All documents (Tous les documents).

    Note

    Vous pouvez consulter les informations sur un runbook en sélectionnant son nom.

  4. Dans la section Document details (Détails du document), vérifiez que l'option Document version (Version de document) correspond à la version que vous souhaitez exécuter. Le système inclut les options de version suivantes :

    • Version par défaut lors de l’exécution : sélectionnez cette option si le runbook d’automatisation est mis à jour régulièrement et qu’une nouvelle version par défaut est attribuée.

    • Dernière version lors de l’exécution : sélectionnez cette option si le runbook d’automatisation est mis à jour régulièrement et que vous souhaitez exécuter la dernière version mise à jour.

    • 1 (Par défaut) : sélectionnez cette option pour exécuter la première version du document, qui est la version par défaut.

  5. Choisissez Next (Suivant).

  6. Sur la page Execute automation document (Exécuter le document d'Automation) , sélectionnez Multi-account and Region (Compte et région multiples).

  7. Dans la section Target accounts and Regions (Comptes de destination et régions), utilisez le champ Accounts and organizational (Comptes et UO) pour spécifier les différents comptes Comptes AWS ou unités organisationnelles AWS dans lesquels vous souhaitez exécuter l'automatisation. Séparez les différents comptes ou unités organisationnelles par une virgule.

  8. Utilisez la liste Régions AWS pour choisir une ou plusieurs régions dans lesquelles vous souhaitez exécuter l'automatisation.

  9. Utilisez les options Multi-Region and account rate control (Plusieurs régions et contrôle du débit du compte) pour restreindre l'exécution d'automatisations à un nombre limité de comptes qui s'exécutent dans un nombre limité de régions. Ces options ne limitent pas le nombre de ressources AWS qui peuvent exécuter les automatisations.

    1. Dans la section Location (account-Region pair) concurrency (Simultanéité de l'emplacement [paire compte/région]), sélectionnez une option pour restreindre le nombre d'automatisations qui peuvent s'exécuter dans plusieurs comptes et régions en même temps. Par exemple, si vous choisissez d'exécuter une automatisation dans cinq (5) Comptes AWS qui sont situés dans quatre (4) Régions AWS, puis que Systems Manager exécute des automatisations dans un total de 20 paires de comptes-régions. Vous pouvez utiliser cette option pour spécifier un nombre absolu, tel que 2, de manière à ce que l'automatisation s'exécute uniquement dans 2 paires compte-région en même temps. Vous pouvez également spécifier un pourcentage de paires compte-région qui peuvent s'exécuter en même temps. Par exemple, avec 20 paires compte-région, si vous spécifiez 20 %, l'automatisation s'exécute simultanément dans un maximum de 5 paires compte-région.

      • Sélectionnez targets (cibles) pour saisir un nombre absolu de paires compte-région pouvant exécuter l'automatisation simultanément.

      • Sélectionnez percentage (pourcentage) pour saisir un pourcentage du nombre total de paires compte-région pouvant exécuter l'automatisation simultanément.

    2. Dans la section Error threshold (Seuil d'erreurs), sélectionnez une option :

      • Sélectionnez errors (erreurs) pour indiquer un nombre absolu d'erreurs autorisées avant qu'Automation ne cesse d'envoyer l'automatisation à d'autres ressources.

      • Sélectionnez percentage (pourcentage) pour indiquer un pourcentage d'erreurs autorisées avant qu'Automation ne cesse d'envoyer l'automatisation à d'autres ressources.

  10. Dans la section Targets (Cibles), sélectionnez la façon dont vous souhaitez cibler les ressources AWS où vous souhaitez exécuter l'automatisation. Ces options sont obligatoires.

    1. Utilisez la liste Parameter (Paramètre) pour choisir un paramètre. Les éléments de la liste Parameter (Paramètre) sont déterminés par les paramètres du runbook Automation que vous avez sélectionnés au début de cette procédure. En choisissant un paramètre, vous définissez le type de ressource sur lequel le flux de travail d'automatisation s'exécutera.

    2. Utilisez la liste Targets (Cibles) pour choisir la façon dont vous souhaitez cibler les ressources.

      1. Si vous choisissez de cibler des ressources à l'aide de valeurs de paramètre, saisissez la valeur de paramètre du paramètre que vous avez choisi, dans la section Input parameters (Paramètres d'entrée).

      2. Si vous choisissez de cibler les ressources avec AWS Resource Groups, sélectionnez le nom du groupe dans la liste Resource Group (Groupe de ressources).

      3. Si vous choisissez de cibler des ressources à l'aide de balises, entrez la clé de balise et (éventuellement) la valeur de balise dans les champs fournis. Choisissez Ajouter.

      4. Si vous voulez exécuter un runbook Automation sur toutes les instances du Compte AWS et de la Région AWS actuels, sélectionnez All instances (Toutes les instances).

  11. Dans la section Input parameters (Paramètres d'entrée), spécifiez les entrées obligatoires. Choisissez le rôle de service IAM AWS-SystemsManager-AutomationAdministrationRole dans la liste AutomationAssumeRole.

    Note

    Vous pourriez ne pas avoir besoin de choisir certaines options dans la section Paramètres d'entrée. Cela est dû au fait que vous avez ciblé des ressources dans plusieurs régions et comptes à l'aide de balises ou d'un groupe de ressources. Par exemple, si vous avez choisi le runbook AWS-RestartEC2Instance, vous n'avez pas à spécifier ou à choisir d'ID d'instance dans la section Inpunt parameters (Paramètres d'entrée). L'automatisation localise les instances à redémarrer en utilisant les balises que vous avez spécifiées.

  12. (Facultatif) Choisissez une alarme CloudWatch à appliquer à votre automatisation à des fins de surveillance. Afin d'associer une alarme CloudWatch à votre automatisation, le principal IAM démarrant l'automatisation doit disposer de l'autorisation pour l'action iam:createServiceLinkedRole. Pour de plus amples informations relatives à la configuration des alarmes CloudWatch, consultez Utilisation des alarmes Amazon CloudWatch. Veuillez noter que l'activation de votre alarme entraîne l'annulation de l'automatisation et l'exécution des étapes OnCancel définies. Si vous utilisez AWS CloudTrail, vous verrez l'appel d'API dans votre journal.

  13. Utilisez les options de la section Rate control (Contrôle du débit) pour restreindre le nombre de ressources AWS qui peuvent exécuter l'automatisation au sein de chaque paire compte-région.

    Dans la section Simultanéité, sélectionnez une option :

    • Sélectionnez targets (cibles) pour entrer un nombre absolu de cibles pouvant exécuter le flux de travail Automation simultanément.

    • Sélectionnez percentage (pourcentage) pour indiquer un pourcentage de l'ensemble de cibles pouvant exécuter le flux de travail Automation simultanément.

  14. Dans la section Error threshold (Seuil d'erreurs), sélectionnez une option :

    • Sélectionnez erreurs pour indiquer un nombre absolu d'erreurs autorisées avant qu'Automation ne cesse d'envoyer le flux de travail à d'autres ressources.

    • Sélectionnez pourcentage pour indiquer un pourcentage d'erreurs autorisées avant qu'Automation ne cesse d'envoyer le flux de travail à d'autres ressources.

  15. Sélectionnez Execute (Exécuter).

Exécuter Automation dans plusieurs comptes et régions (ligne de commande)

La procédure suivante décrit comment utiliser l'AWS CLI (sous Linux ou Windows) ou les AWS Tools for PowerShell pour exécuter une automatisation dans plusieurs régions et comptes à partir du compte de gestion Automation.

Avant de commencer

Avant d'exécuter la procédure suivante, notez les informations suivantes :

  • ID de Compte AWS ou unités organisationnelles dans lesquels vous souhaitez exécuter l'automatisation.

  • Régions prises en charge par Systems Manager où vous souhaitez exécuter l'automatisation.

  • La clé de balise et la valeur de balise ou le nom du groupe de ressources, où vous souhaitez exécuter l'automatisation.

Pour exécuter une automatisation dans plusieurs comptes et régions

  1. Installez et configurez l'AWS CLI ou AWS Tools for PowerShell si vous ne l'avez pas déjà fait.

    Pour plus d'informations, consultez la section Installation ou mise à jour de la version la plus récente de l'AWS CLI et Installation d'AWS Tools for PowerShell.

  2. Utilisez le format suivant pour créer une commande permettant d'exécuter une automatisation dans plusieurs régions et comptes. Remplacez chaque example resource placeholder (espace réservé pour les ressources) avec vos propres informations.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name runbook name \
        --parameters AutomationAssumeRole=arn:aws:iam::management account ID:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name parameter name \
        --targets Key=tag key,Values=value \
        --target-locations Accounts=account ID,account ID 2,Regions=Region,Region 2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name runbook name ^
        --parameters AutomationAssumeRole=arn:aws:iam::management account ID:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name parameter name ^
        --targets Key=tag key,Values=value ^
        --target-locations Accounts=account ID,account ID 2,Regions=Region,Region 2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "tag key"
    $Targets.Values = "value"
    
    Start-SSMAutomationExecution `
        -DocumentName "runbook name" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::management account ID:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "parameter name" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="account ID","account ID 2";
        "Regions"="Region","Region 2";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    Voici quelques exemples.

    Exemple 1 : cet exemple redémarre les instances EC2 dans les comptes 123456789012 et 987654321098, qui sont situés dans les régions us-east-2 et us-west-1. Les instances doivent être balisées avec la valeur de paire de clés de balise Env-PROD.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name AWS-RestartEC2Instance \
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name InstanceId \
        --targets Key=tag:Env,Values=PROD \
        --target-locations Accounts=123456789012,987654321098,Regions=us-east-2,us-west-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name AWS-RestartEC2Instance ^
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name InstanceId ^
        --targets Key=tag:Env,Values=PROD ^
        --target-locations Accounts=123456789012,987654321098,Regions=us-east-2,us-west-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "tag:Env"
    $Targets.Values = "PROD"
    
    Start-SSMAutomationExecution `
        -DocumentName "AWS-RestartEC2Instance" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "InstanceId" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="123456789012","987654321098";
        "Regions"="us-east-2","us-west-1";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    Exemple 2 : cet exemple redémarre les instances EC2 dans les comptes 123456789012 et 987654321098, qui sont situés dans la région eu-central-1. Les instances doivent être membres du groupe de ressources AWS prod-instances.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name AWS-RestartEC2Instance \
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name InstanceId \
        --targets Key=ResourceGroup,Values=prod-instances \
        --target-locations Accounts=123456789012,987654321098,Regions=eu-central-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name AWS-RestartEC2Instance ^
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name InstanceId ^
        --targets Key=ResourceGroup,Values=prod-instances ^
        --target-locations Accounts=123456789012,987654321098,Regions=eu-central-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "ResourceGroup"
    $Targets.Values = "prod-instances"
    
    Start-SSMAutomationExecution `
        -DocumentName "AWS-RestartEC2Instance" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "InstanceId" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="123456789012","987654321098";
        "Regions"="eu-central-1";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    Exemple 3 : cet exemple redémarre les instances EC2 dans l'unité organisation AWS ou-1a2b3c-4d5e6c. Les instances sont situées dans les régions us-west-1 et us-west-2. Les instances doivent être membres du groupe de ressources AWS WebServices.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name AWS-RestartEC2Instance \
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name InstanceId \
        --targets Key=ResourceGroup,Values=WebServices \
        --target-locations Accounts=ou-1a2b3c-4d5e6c,Regions=us-west-1,us-west-2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name AWS-RestartEC2Instance ^
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name InstanceId ^
        --targets Key=ResourceGroup,Values=WebServices ^
        --target-locations Accounts=ou-1a2b3c-4d5e6c,Regions=us-west-1,us-west-2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "ResourceGroup"
    $Targets.Values = "WebServices"
    
    Start-SSMAutomationExecution `
        -DocumentName "AWS-RestartEC2Instance" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "InstanceId" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="ou-1a2b3c-4d5e6c";
        "Regions"="us-west-1";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    Le système renvoie des informations similaires à ce qui suit :

    Linux & macOS
    {
        "AutomationExecutionId": "4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE"
    }
    Windows
    {
        "AutomationExecutionId": "4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE"
    }
    PowerShell
    4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE

  3. Exécutez la commande suivante pour afficher des informations détaillées relatives à l'automatisation. Remplacez automation execution ID (ID d'exécution de l'automatisation) par vos propres informations.

    Linux & macOS
    aws ssm describe-automation-executions \
        --filters Key=ExecutionId,Values=automation execution ID
    Windows
    aws ssm describe-automation-executions ^
        --filters Key=ExecutionId,Values=automation execution ID
    PowerShell
    Get-SSMAutomationExecutionList | `
        Where {$_.AutomationExecutionId -eq "automation execution ID"}

  4. Exécutez la commande suivante pour afficher des informations détaillées relatives à l'automatisation.

    Linux & macOS
    aws ssm get-automation-execution \
        --automation-execution-id 4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE
    Windows
    aws ssm get-automation-execution ^
        --automation-execution-id 4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE
    PowerShell
    Get-SSMAutomationExecution `
        -AutomationExecutionId a4a3c0e9-7efd-462a-8594-01234EXAMPLE
    Note

    Vous pouvez aussi surveiller le statut de l'automatisation dans la console. Dans la liste Automation executions (Exécutions Automation), sélectionnez l'exécution que vous venez juste d'exécuter, puis sélectionnez l'onglet Execution Steps (Étapes d'exécution). Cet onglet affiche le statut des actions de l'automatisation.

Plus d'informations

Correctif centralisé à plusieurs comptes et plusieurs régions avec AWS Systems Manager Automation