Exécutez une automatisation qui nécessite des approbations - AWS Systems Manager
Exécution d'une automatisation avec des approbateurs (console)Exécution d'une automatisation avec des approbateurs (ligne de commande)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exécutez une automatisation qui nécessite des approbations

Les procédures suivantes décrivent comment utiliser la AWS Systems Manager console et AWS Command Line Interface (AWS CLI) pour exécuter une automatisation avec des approbations en utilisant une exécution simple. L'automatisation utilise l'action Automation aws:approve, qui interrompt temporairement l'automatisation jusqu'à ce que les principaux désignés approuvent ou refusent l'action. Le flux de travail Automation s'exécute dans le contexte de l'utilisateur actuel. Cela signifie que vous n'avez pas besoin de configurer d'IAMautorisations supplémentaires tant que vous êtes autorisé à utiliser le runbook et toutes les actions appelées par le runbook. Si vous avez des autorisations d'administrateurIAM, vous êtes déjà autorisé à utiliser ce runbook.

Avant de commencer

En plus des entrées standard requises par le runbook, l'action aws:approve nécessite les deux paramètres suivants :

  • Une liste d'approbateurs. La liste des approbateurs doit contenir au moins un approbateur sous la forme d'un nom d'utilisateur ou d'un utilisateur. ARN Si plusieurs approbateurs sont fournis, un nombre minimum d'approbations correspondant doit également être spécifié dans le runbook.

  • Un sujet sur Amazon Simple Notification Service (AmazonSNS)ARN. Le nom du SNS sujet Amazon doit commencer parAutomation.

Cette procédure suppose que vous avez déjà créé un SNS sujet Amazon, qui est nécessaire pour envoyer la demande d'approbation. Pour plus d'informations, consultez Créer une rubrique dans le Guide du développeur d'Amazon Simple Notification Service.

Exécution d'une automatisation avec des approbateurs (console)

Pour exécuter une automatisation avec des approbateurs

La procédure suivante décrit comment utiliser la console Systems Manager pour exécuter une simple automatisation avec des approbateurs.

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Automation (Automatisation), puis Execute automation (Exécuter l'automatisation).

  3. Dans la liste Automation document (Document Automation), sélectionnez un runbook. Choisissez une ou plusieurs options dans le volet Catégories de documents pour filtrer SSM les documents en fonction de leur objectif. Pour afficher un runbook vous appartenant, sélectionnez l'onglet Owned by me (M'appartenant). Pour afficher un runbook partagé avec votre compte, sélectionnez l'onglet Shared with me (Partagé avec moi). Pour afficher tous les runbooks, sélectionnez l'onglet All documents (Tous les documents).

    Note

    Vous pouvez consulter les informations sur un runbook en sélectionnant son nom.

  4. Dans la section Document details (Détails du document), vérifiez que l'option Document version (Version de document) correspond à la version que vous souhaitez exécuter. Le système inclut les options de version suivantes :

    • Version par défaut lors de l’exécution : sélectionnez cette option si le runbook d’Automatisation est mis à jour régulièrement et qu’une nouvelle version par défaut est attribuée.

    • Dernière version lors de l’exécution : sélectionnez cette option si le runbook d’Automatisation est mis à jour régulièrement et que vous souhaitez exécuter la dernière version mise à jour.

    • 1 (Par défaut) : sélectionnez cette option pour exécuter la première version du document, qui est la version par défaut.

  5. Sélectionnez Suivant.

  6. Sur la page Execute automation document (Exécuter le document Automation), sélectionnez Simple execution (Exécution simple).

  7. Dans la section Paramètres d'entrée, spécifiez les paramètres d'entrée obligatoires.

    Par exemple, si vous avez choisi le AWS-StartEC2InstanceWithApproval runbook, vous devez spécifier ou choisir une instance IDs pour le InstanceIdparamètre.

  8. Dans la section Approbateurs, spécifiez les noms d'utilisateur ou les utilisateurs ARNs des approbateurs pour l'action d'automatisation.

  9. Dans la SNSTopicARNsection, spécifiez le SNS sujet ARN à utiliser pour envoyer la notification d'approbation. Le nom du SNS sujet doit commencer par Automation.

  10. Vous pouvez éventuellement choisir un rôle de IAM service dans la AutomationAssumeRoleliste. Si vous ciblez plus de 100 comptes et régions, vous devez spécifier le AWS-SystemsManager-AutomationAdministrationRole.

  11. Choisissez Execute automation (Exécuter l’automatisation).

L'approbateur spécifié reçoit une SNS notification Amazon contenant les informations nécessaires pour approuver ou rejeter l'automatisation. Cette action d'approbation est valide pendant 7 jours à compter de la date d'émission et peut être émise à l'aide de la console Systems Manager ou du AWS Command Line Interface (AWS CLI).

Si vous choisissez d'approuver l'automatisation, l'automatisation continue d'exécuter les étapes incluses dans le runbook spécifié. La console affiche le statut de l'automatisation. Si l'exécution de l'automatisation échoue, consultez Résolution des problèmes liés à Systems Manager Automation.

Pour approuver ou rejeter une automatisation

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Automation, puis sélectionnez l'automatisation qui a été exécuté au cours de la procédure précédente.

  3. Sélectionnez Actions puis Approve/Deny (Approuver/Refuser).

  4. Sélectionnez d'Approuver ou de Refuser et, le cas échéant, saisissez un commentaire.

  5. Sélectionnez Submit (Envoyer).

Exécution d'une automatisation avec des approbateurs (ligne de commande)

La procédure suivante décrit comment utiliser AWS CLI (sous Linux ou Windows) ou comment AWS Tools for PowerShell exécuter une automatisation avec des approbateurs.

Pour exécuter une automatisation avec des approbateurs

  1. Installez et configurez le AWS CLI ou le AWS Tools for PowerShell, si ce n'est pas déjà fait.

    Pour plus d'informations, consultez la section Installation ou mise à jour de la version la plus récente de l' AWS CLI et Installation d' AWS Tools for PowerShell.

  2. Exécutez la commande suivante pour lancer une automatisation avec des approbateurs. Remplacez chacun example resource placeholder avec vos propres informations. Dans la section Document name (Nom du document), spécifiez un runbook qui inclut l'action Automation, aws:approve.

    PourApprovers, spécifiez les noms d'utilisateur ou les utilisateurs ARNs des approbateurs pour l'action. PourSNSTopic, spécifiez le SNS sujet ARN à utiliser pour envoyer la notification d'approbation. Le nom du SNS sujet Amazon doit commencer parAutomation.

    Note

    Les noms spécifiques des valeurs des paramètres pour les approbateurs et du SNS sujet dépendent des valeurs spécifiées dans le runbook que vous choisissez.

    Linux & macOS
    aws ssm start-automation-execution \
    --document-name "AWS-StartEC2InstanceWithApproval" \
    --parameters "InstanceId=i-02573cafcfEXAMPLE,Approvers=arn:aws:iam::123456789012:role/Administrator,SNSTopicArn=arn:aws:sns:region:123456789012:AutomationApproval"
    Windows
    aws ssm start-automation-execution ^
    --document-name "AWS-StartEC2InstanceWithApproval" ^
    --parameters "InstanceId=i-02573cafcfEXAMPLE,Approvers=arn:aws:iam::123456789012:role/Administrator,SNSTopicArn=arn:aws:sns:region:123456789012:AutomationApproval"
    PowerShell
    Start-SSMAutomationExecution `
    -DocumentName AWS-StartEC2InstanceWithApproval `
    -Parameters @{
        "InstanceId"="i-02573cafcfEXAMPLE"
        "Approvers"="arn:aws:iam::123456789012:role/Administrator"
        "SNSTopicArn"="arn:aws:sns:region:123456789012:AutomationApproval"
    }

    Le système retourne des informations telles que les suivantes.

    Linux & macOS
    {
    "AutomationExecutionId": "df325c6d-b1b1-4aa0-8003-6cb7338213c6"
}
    Windows
    {
    "AutomationExecutionId": "df325c6d-b1b1-4aa0-8003-6cb7338213c6"
}
    PowerShell
    df325c6d-b1b1-4aa0-8003-6cb7338213c6
Pour approuver une automatisation

  • Exécutez la commande suivante pour approuver une automatisation. Remplacez chacun example resource placeholder avec vos propres informations.

    Linux & macOS
    aws ssm send-automation-signal \
    --automation-execution-id "df325c6d-b1b1-4aa0-8003-6cb7338213c6" \
    --signal-type "Approve" \
    --payload "Comment=your comments"
    Windows
    aws ssm send-automation-signal ^
    --automation-execution-id "df325c6d-b1b1-4aa0-8003-6cb7338213c6" ^
    --signal-type "Approve" ^
    --payload "Comment=your comments"
    PowerShell
    Send-SSMAutomationSignal `
    -AutomationExecutionId df325c6d-b1b1-4aa0-8003-6cb7338213c6 `
    -SignalType Approve `
    -Payload @{"Comment"="your comments"}

    Il n'y a pas de sortie si la commande réussit.

Pour refuser une automatisation

  • Exécutez la commande suivante pour refuser une automatisation. Remplacez chacun example resource placeholder avec vos propres informations.

    Linux & macOS
    aws ssm send-automation-signal \
    --automation-execution-id "df325c6d-b1b1-4aa0-8003-6cb7338213c6" \
    --signal-type "Deny" \
    --payload "Comment=your comments"
    Windows
    aws ssm send-automation-signal ^
    --automation-execution-id "df325c6d-b1b1-4aa0-8003-6cb7338213c6" ^
    --signal-type "Deny" ^
    --payload "Comment=your comments"
    PowerShell
    Send-SSMAutomationSignal `
    -AutomationExecutionId df325c6d-b1b1-4aa0-8003-6cb7338213c6 `
    -SignalType Deny `
    -Payload @{"Comment"="your comments"}

    Il n'y a pas de sortie si la commande réussit.