AWSSupport-GrantPermissionsToIAMUser - AWS Systems Manager Referensi buku runbook otomatisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWSSupport-GrantPermissionsToIAMUser

Deskripsi

Runbook ini memberikan izin yang ditentukan ke IAM grup (baru atau yang sudah ada), dan menambahkan IAM pengguna yang sudah ada ke grup tersebut. Kebijakan yang dapat Anda pilih: Billing atau Support. Untuk mengaktifkan akses penagihanIAM, ingatlah untuk juga mengaktifkan akses IAM pengguna dan pengguna gabungan ke halaman Billing and Cost Management.

penting

Jika Anda menyediakan IAM grup yang ada, semua IAM pengguna saat ini dalam grup menerima izin baru.

Jalankan Otomasi ini (konsol)

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

Linux, macOS, Windows

Parameter

  • AutomationAssumeRole

    Tipe: String

    Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) dari peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.

  • IAMGroupName

    Tipe: String

    Default: ExampleSupportAndBillingGroup

    Deskripsi: (Wajib) Dapat berupa grup baru atau yang sudah ada. Harus mematuhi Batas Nama IAM Entitas.

  • IAMUserName

    Tipe: String

    Default: ExampleUser

    Deskripsi: (Wajib) Harus pengguna yang sudah ada.

  • LambdaAssumeRole

    Tipe: String

    Deskripsi: (Opsional) ARN Peran yang diasumsikan oleh lambda.

  • Izin

    Tipe: String

    Nilai yang valid: SupportFullAccess | BillingFullAccess | SupportAndBillingFullAccess

    Default: SupportAndBillingFullAccess

    Deskripsi: (Wajib) Pilih salah satu dari: SupportFullAccess memberikan akses penuh ke pusat Support. BillingFullAccessmemberikan akses penuh ke dasbor Penagihan. SupportAndBillingFullAccessmemberikan akses penuh ke Pusat Dukungan dan dasbor Penagihan. Info lebih lanjut tentang kebijakan di bawah Detail dokumen.

IAMIzin yang diperlukan

AutomationAssumeRoleParameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.

Izin yang diperlukan tergantung pada bagaimana AWSSupport-GrantPermissionsToIAMUser dijalankan.

Berjalan sebagai pengguna atau peran yang saat ini masuk

Sebaiknya Anda melampirkan kebijakan terkelola AmazonSSMAutomationRole Amazon, dan izin tambahan berikut untuk dapat membuat fungsi Lambda dan IAM peran yang akan diteruskan ke Lambda: 

{
                    "Version": "2012-10-17",
                    "Statement": [
                        {
                            "Action": [
                                "lambda:InvokeFunction",
                                "lambda:CreateFunction",
                                "lambda:DeleteFunction",
                                "lambda:GetFunction"
                            ],
                            "Resource": "arn:aws:lambda:*:ACCOUNTID:function:AWSSupport-*",
                            "Effect": "Allow"
                        },
                        {
                            "Effect" : "Allow",
                            "Action" : [
                                "iam:CreateGroup",
                                "iam:AddUserToGroup",
                                "iam:ListAttachedGroupPolicies",
                                "iam:GetGroup",
                                "iam:GetUser"
                            ],
                            "Resource" : [
                                "arn:aws:iam::*:user/*",
                                "arn:aws:iam::*:group/*"
                            ]
                        },
                        {
                            "Effect" : "Allow",
                            "Action" : [
                                "iam:AttachGroupPolicy"
                            ],
                            "Resource": "*",
                            "Condition": {
                                "ArnEquals": {
                                    "iam:PolicyArn": [
                                        "arn:aws:iam::aws:policy/job-function/Billing",
                                        "arn:aws:iam::aws:policy/AWSSupportAccess"
                                    ]
                                }
                            }
                        },
                        {
                            "Effect" : "Allow",
                            "Action" : [
                                "iam:ListAccountAliases",
                                "iam:GetAccountSummary"
                            ],
                            "Resource" : "*"
                        }
                    ]
                }

Menggunakan AutomationAssumeRole dan LambdaAssumeRole

Pengguna harus memiliki StartAutomationExecution izin ssm: di runbook, dan iam: PassRole pada IAM peran yang diteruskan sebagai dan. AutomationAssumeRoleLambdaAssumeRole Berikut adalah izin yang dibutuhkan setiap IAM peran: 

AutomationAssumeRole

                    {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Action": [
                                    "lambda:InvokeFunction",
                                    "lambda:CreateFunction",
                                    "lambda:DeleteFunction",
                                    "lambda:GetFunction"
                                ],
                                "Resource": "arn:aws:lambda:*:ACCOUNTID:function:AWSSupport-*",
                                "Effect": "Allow"
                            }
                        ]
                    }
            
LambdaAssumeRole

                {
                    "Version": "2012-10-17",
                    "Statement": [
                        {
                            "Effect" : "Allow",
                            "Action" : [
                                "iam:CreateGroup",
                                "iam:AddUserToGroup",
                                "iam:ListAttachedGroupPolicies",
                                "iam:GetGroup",
                                "iam:GetUser"
                            ],
                            "Resource" : [
                                "arn:aws:iam::*:user/*",
                                "arn:aws:iam::*:group/*"
                            ]
                        },
                        {
                            "Effect" : "Allow",
                            "Action" : [
                                "iam:AttachGroupPolicy"
                            ],
                            "Resource": "*",
                            "Condition": {
                                "ArnEquals": {
                                    "iam:PolicyArn": [
                                        "arn:aws:iam::aws:policy/job-function/Billing",
                                        "arn:aws:iam::aws:policy/AWSSupportAccess"
                                    ]
                                }
                            }
                        },
                        {
                            "Effect" : "Allow",
                            "Action" : [
                                "iam:ListAccountAliases",
                                "iam:GetAccountSummary"
                            ],
                            "Resource" : "*"
                        }
                    ]
                }

Langkah Dokumen

  1. aws:createStack- Jalankan AWS CloudFormation Template untuk membuat fungsi Lambda.

  2. aws:invokeLambdaFunction- Jalankan Lambda untuk mengatur IAM izin.

  3. aws:deleteStack- Hapus CloudFormation Template.

Keluaran

mengkonfigurasi IAM .Payload