Exécuter une automatisation qui nécessite des approbations - AWS Systems Manager
Exécution d'une automatisation avec des approbateurs (console)Exécution d'une automatisation avec des approbateurs (ligne de commande)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exécuter une automatisation qui nécessite des approbations

Les procédures suivantes décrivent comment utiliser la console AWS Systems Manager et l'AWS Command Line Interface (AWS CLI) pour exécuter une automatisation avec des approbations à l'aide d'une exécution simple. L'automatisation utilise l'action Automation aws:approve, qui interrompt temporairement l'automatisation jusqu'à ce que les principaux désignés approuvent ou refusent l'action. Le flux de travail Automation s'exécute dans le contexte de l'utilisateur actuel. Cela signifie que vous n'avez pas besoin de configurer d'autorisations IAM supplémentaires tant que vous avez le droit d'utiliser le runbook et les actions qu'il appelle. Si vous disposez des autorisations d'administrateur dans IAM, vous pouvez exécuter ce runbook.

Avant de commencer

En plus des entrées standard requises par le runbook, l'action aws:approve nécessite les deux paramètres suivants :

  • Une liste d'approbateurs. La liste des approbateurs doit contenir au moins un approbateur sous la forme d'un nom d'utilisateur ou d'un ARN d'utilisateur. Si plusieurs approbateurs sont fournis, un nombre minimum d'approbations correspondant doit également être spécifié dans le runbook.

  • ARN de rubrique Amazon Simple Notification Service (Amazon SNS). Le nom de la rubrique Amazon SNS doit commencer par Automation.

Cette procédure suppose que vous ayez déjà créé une rubrique Amazon SNS, ce qui est nécessaire pour diffuser la demande d'approbation. Pour plus d'informations, consultez Créer une rubrique dans le Guide du développeur d'Amazon Simple Notification Service.

Exécution d'une automatisation avec des approbateurs (console)

Pour exécuter une automatisation avec des approbateurs

La procédure suivante décrit comment utiliser la console Systems Manager pour exécuter une simple automatisation avec des approbateurs.

  1. Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Automation (Automatisation), puis Execute automation (Exécuter l'automatisation).

  3. Dans la liste Automation document (Document Automation), sélectionnez un runbook. Sélectionnez une ou plusieurs options dans le panneau Document categories (Catégories de documents) pour filtrer les documents SSM en fonction de leur but. Pour afficher un runbook vous appartenant, sélectionnez l'onglet Owned by me (M'appartenant). Pour afficher un runbook partagé avec votre compte, sélectionnez l'onglet Shared with me (Partagé avec moi). Pour afficher tous les runbooks, sélectionnez l'onglet All documents (Tous les documents).

    Note

    Vous pouvez consulter les informations sur un runbook en sélectionnant son nom.

  4. Dans la section Document details (Détails du document), vérifiez que l'option Document version (Version de document) correspond à la version que vous souhaitez exécuter. Le système inclut les options de version suivantes :

    • Version par défaut lors de l’exécution : sélectionnez cette option si le runbook d’Automatisation est mis à jour régulièrement et qu’une nouvelle version par défaut est attribuée.

    • Dernière version lors de l’exécution : sélectionnez cette option si le runbook d’Automatisation est mis à jour régulièrement et que vous souhaitez exécuter la dernière version mise à jour.

    • 1 (Par défaut) : sélectionnez cette option pour exécuter la première version du document, qui est la version par défaut.

  5. Sélectionnez Suivant.

  6. Sur la page Execute automation document (Exécuter le document Automation), sélectionnez Simple execution (Exécution simple).

  7. Dans la section Paramètres d'entrée, spécifiez les paramètres d'entrée obligatoires.

    Par exemple, si vous avez choisi le runbook AWS-StartEC2InstanceWithApproval, vous devez spécifier ou choisir des ID d'instance pour le paramètre InstanceId.

  8. Dans la section Approbateurs, spécifiez les noms d'utilisateurs ou les ARN d'utilisateur des approbateurs pour l'action Automation.

  9. Dans la section SNSTopicARN, spécifiez l'ARN de la rubrique SNS à utiliser pour l'envoi de notifications d'approbation. Le nom de la rubrique SNS doit commencer par Automation.

  10. Le cas échéant, vous pouvez choisir un rôle de service IAM dans la liste AutomationAssumeRole. Si vous ciblez plus de 100 comptes et régions, vous devez spécifier le AWS-SystemsManager-AutomationAdministrationRole.

  11. Sélectionnez Execute automation (Exécuter l'automatisation).

L'approbateur spécifié reçoit une notification Amazon SNS avec des détails pour approuver ou rejeter l'automatisation. Cette action d'approbation est valide pendant 7 jours à compter de la date de publication et peut être émise à l'aide de la console Systems Manager ou de l'AWS Command Line Interface (AWS CLI).

Si vous choisissez d'approuver l'automatisation, l'automatisation continue d'exécuter les étapes incluses dans le runbook spécifié. La console affiche le statut de l'automatisation. Si l'exécution de l'automatisation échoue, consultez Résolution des problèmes liés à Systems Manager Automation.

Pour approuver ou rejeter une automatisation

  1. Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Automation, puis sélectionnez l'automatisation qui a été exécuté au cours de la procédure précédente.

  3. Sélectionnez Actions puis Approve/Deny (Approuver/Refuser).

  4. Sélectionnez d'Approuver ou de Refuser et, le cas échéant, saisissez un commentaire.

  5. Sélectionnez Submit (Envoyer).

Exécution d'une automatisation avec des approbateurs (ligne de commande)

La procédure suivante décrit comment utiliser l'AWS CLI (sous Linux ou Windows) ou les AWS Tools for PowerShell pour exécuter une automatisation avec des approbateurs.

Pour exécuter une automatisation avec des approbateurs

  1. Installez et configurez l'AWS CLI ou AWS Tools for PowerShell si vous ne l'avez pas déjà fait.

    Pour plus d'informations, consultez la section Installation ou mise à jour de la version la plus récente de l'AWS CLI et Installation d'AWS Tools for PowerShell.

  2. Exécutez la commande suivante pour lancer une automatisation avec des approbateurs. Remplacez chaque example resource placeholder (espace réservé pour les ressources) avec vos propres informations. Dans la section Document name (Nom du document), spécifiez un runbook qui inclut l'action Automation, aws:approve.

    Pour Approvers, spécifiez les noms d'utilisateurs ou les ARN d'utilisateur des approbateurs de l'action. Pour SNSTopic, spécifiez l'ARN de la rubrique SNS à utiliser pour envoyer la notification d'approbation. Le nom de la rubrique Amazon SNS doit commencer par Automation.

    Note

    Le nom exact des valeurs de paramètres pour les approbateurs et la rubrique SNS dépendent des valeurs spécifiées dans le runbook que vous sélectionnez.

    Linux & macOS
    aws ssm start-automation-execution \
    --document-name "AWS-StartEC2InstanceWithApproval" \
    --parameters "InstanceId=i-02573cafcfEXAMPLE,Approvers=arn:aws:iam::123456789012:role/Administrator,SNSTopicArn=arn:aws:sns:region:123456789012:AutomationApproval"
    Windows
    aws ssm start-automation-execution ^
    --document-name "AWS-StartEC2InstanceWithApproval" ^
    --parameters "InstanceId=i-02573cafcfEXAMPLE,Approvers=arn:aws:iam::123456789012:role/Administrator,SNSTopicArn=arn:aws:sns:region:123456789012:AutomationApproval"
    PowerShell
    Start-SSMAutomationExecution `
    -DocumentName AWS-StartEC2InstanceWithApproval `
    -Parameters @{
        "InstanceId"="i-02573cafcfEXAMPLE"
        "Approvers"="arn:aws:iam::123456789012:role/Administrator"
        "SNSTopicArn"="arn:aws:sns:region:123456789012:AutomationApproval"
    }

    Le système retourne des informations telles que les suivantes.

    Linux & macOS
    {
    "AutomationExecutionId": "df325c6d-b1b1-4aa0-8003-6cb7338213c6"
}
    Windows
    {
    "AutomationExecutionId": "df325c6d-b1b1-4aa0-8003-6cb7338213c6"
}
    PowerShell
    df325c6d-b1b1-4aa0-8003-6cb7338213c6
Pour approuver une automatisation

  • Exécutez la commande suivante pour approuver une automatisation. Remplacez chaque example resource placeholder (espace réservé pour les ressources) avec vos propres informations.

    Linux & macOS
    aws ssm send-automation-signal \
    --automation-execution-id "df325c6d-b1b1-4aa0-8003-6cb7338213c6" \
    --signal-type "Approve" \
    --payload "Comment=your comments"
    Windows
    aws ssm send-automation-signal ^
    --automation-execution-id "df325c6d-b1b1-4aa0-8003-6cb7338213c6" ^
    --signal-type "Approve" ^
    --payload "Comment=your comments"
    PowerShell
    Send-SSMAutomationSignal `
    -AutomationExecutionId df325c6d-b1b1-4aa0-8003-6cb7338213c6 `
    -SignalType Approve `
    -Payload @{"Comment"="your comments"}

    Il n'y a pas de sortie si la commande réussit.

Pour refuser une automatisation

  • Exécutez la commande suivante pour refuser une automatisation. Remplacez chaque example resource placeholder (espace réservé pour les ressources) avec vos propres informations.

    Linux & macOS
    aws ssm send-automation-signal \
    --automation-execution-id "df325c6d-b1b1-4aa0-8003-6cb7338213c6" \
    --signal-type "Deny" \
    --payload "Comment=your comments"
    Windows
    aws ssm send-automation-signal ^
    --automation-execution-id "df325c6d-b1b1-4aa0-8003-6cb7338213c6" ^
    --signal-type "Deny" ^
    --payload "Comment=your comments"
    PowerShell
    Send-SSMAutomationSignal `
    -AutomationExecutionId df325c6d-b1b1-4aa0-8003-6cb7338213c6 `
    -SignalType Deny `
    -Payload @{"Comment"="your comments"}

    Il n'y a pas de sortie si la commande réussit.