Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWSSupport-GrantPermissionsToIAMUser
Deskripsi
Runbook ini memberikan izin yang ditentukan ke IAM grup (baru atau yang sudah ada), dan menambahkan IAM pengguna yang sudah ada ke grup tersebut. Kebijakan yang dapat Anda pilih: Billing
penting
Jika Anda menyediakan IAM grup yang ada, semua IAM pengguna saat ini dalam grup menerima izin baru.
Jenis dokumen
Otomatisasi
Pemilik
Amazon
Platform
Linux, macOS, Windows
Parameter
-
AutomationAssumeRole
Tipe: String
Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) dari peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.
-
IAMGroupName
Tipe: String
Default: ExampleSupportAndBillingGroup
Deskripsi: (Wajib) Dapat berupa grup baru atau yang sudah ada. Harus mematuhi Batas Nama IAM Entitas.
-
IAMUserName
Tipe: String
Default: ExampleUser
Deskripsi: (Wajib) Harus pengguna yang sudah ada.
-
LambdaAssumeRole
Tipe: String
Deskripsi: (Opsional) ARN Peran yang diasumsikan oleh lambda.
-
Izin
Tipe: String
Nilai yang valid: SupportFullAccess | BillingFullAccess | SupportAndBillingFullAccess
Default: SupportAndBillingFullAccess
Deskripsi: (Wajib) Pilih salah satu dari:
SupportFullAccess
memberikan akses penuh ke pusat Support.BillingFullAccess
memberikan akses penuh ke dasbor Penagihan.SupportAndBillingFullAccess
memberikan akses penuh ke Pusat Dukungan dan dasbor Penagihan. Info lebih lanjut tentang kebijakan di bawah Detail dokumen.
IAMIzin yang diperlukan
AutomationAssumeRole
Parameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.
Izin yang diperlukan tergantung pada bagaimana AWSSupport-GrantPermissionsToIAMUser
dijalankan.
Berjalan sebagai pengguna atau peran yang saat ini masuk
Sebaiknya Anda melampirkan kebijakan terkelola AmazonSSMAutomationRole
Amazon, dan izin tambahan berikut untuk dapat membuat fungsi Lambda dan IAM peran yang akan diteruskan ke Lambda:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "lambda:InvokeFunction", "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:GetFunction" ], "Resource": "arn:aws:lambda:*:ACCOUNTID:function:AWSSupport-*", "Effect": "Allow" }, { "Effect" : "Allow", "Action" : [ "iam:CreateGroup", "iam:AddUserToGroup", "iam:ListAttachedGroupPolicies", "iam:GetGroup", "iam:GetUser" ], "Resource" : [ "arn:aws:iam::*:user/*", "arn:aws:iam::*:group/*" ] }, { "Effect" : "Allow", "Action" : [ "iam:AttachGroupPolicy" ], "Resource": "*", "Condition": { "ArnEquals": { "iam:PolicyArn": [ "arn:aws:iam::aws:policy/job-function/Billing", "arn:aws:iam::aws:policy/AWSSupportAccess" ] } } }, { "Effect" : "Allow", "Action" : [ "iam:ListAccountAliases", "iam:GetAccountSummary" ], "Resource" : "*" } ] }
Menggunakan AutomationAssumeRole dan LambdaAssumeRole
Pengguna harus memiliki StartAutomationExecution izin ssm: di runbook, dan iam: PassRole pada IAM peran yang diteruskan sebagai dan. AutomationAssumeRoleLambdaAssumeRole Berikut adalah izin yang dibutuhkan setiap IAM peran:
AutomationAssumeRole { "Version": "2012-10-17", "Statement": [ { "Action": [ "lambda:InvokeFunction", "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:GetFunction" ], "Resource": "arn:aws:lambda:*:ACCOUNTID:function:AWSSupport-*", "Effect": "Allow" } ] }
LambdaAssumeRole { "Version": "2012-10-17", "Statement": [ { "Effect" : "Allow", "Action" : [ "iam:CreateGroup", "iam:AddUserToGroup", "iam:ListAttachedGroupPolicies", "iam:GetGroup", "iam:GetUser" ], "Resource" : [ "arn:aws:iam::*:user/*", "arn:aws:iam::*:group/*" ] }, { "Effect" : "Allow", "Action" : [ "iam:AttachGroupPolicy" ], "Resource": "*", "Condition": { "ArnEquals": { "iam:PolicyArn": [ "arn:aws:iam::aws:policy/job-function/Billing", "arn:aws:iam::aws:policy/AWSSupportAccess" ] } } }, { "Effect" : "Allow", "Action" : [ "iam:ListAccountAliases", "iam:GetAccountSummary" ], "Resource" : "*" } ] }
Langkah Dokumen
-
aws:createStack
- Jalankan AWS CloudFormation Template untuk membuat fungsi Lambda. -
aws:invokeLambdaFunction
- Jalankan Lambda untuk mengatur IAM izin. -
aws:deleteStack
- Hapus CloudFormation Template.
Keluaran
mengkonfigurasi IAM .Payload