Creare i ruoli di servizio per l'automazione utilizzando la console - AWS Systems Manager
Processo 1: creazione di un ruolo di servizio per il servizio di automazioneAttività 2: allega la PassRole policy iam: al tuo ruolo di automazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creare i ruoli di servizio per l'automazione utilizzando la console

Se è necessario creare un ruolo di servizio per Automation, una funzionalità di AWS Systems Manager, completare le seguenti attività. Per ulteriori informazioni su quando un ruolo di servizio è obbligatorio per l'automazione, consulta Configurazione del servizio di automazione.

Processo 1: creazione di un ruolo di servizio per il servizio di automazione

Utilizza la procedura seguente per creare un ruolo di servizio (o ruolo presunto) per il servizio di automazione di Systems Manager.

Nota

Puoi anche utilizzare questo ruolo nei runbook, ad esempio il runbook AWS-CreateManagedLinuxInstance. L'utilizzo di questo ruolo, o dell'Amazon Resource Name AWS Identity and Access Management (ARNIAM) di un ruolo (), nei runbook consente all'automazione di eseguire azioni nel tuo ambiente, come avviare nuove istanze ed eseguire azioni per tuo conto.

Creare un IAM ruolo e consentire ad Automation di assumerlo

  1. Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, scegliere Roles (Ruoli) e quindi Create role (Crea ruolo).

  3. In Select type of trusted entity (Seleziona tipo di entità attendibile), scegliere AWS service (Servizio).

  4. Nella sezione Choose a use case (Scegli un caso d'uso), scegliere Systems Manager, e quindi scegliere Next: Permissions (Successivo: autorizzazioni).

  5. Nella pagina Politica di autorizzazione allegata, cerca la politica A mazonSSMAutomation Role, selezionala, quindi scegli Avanti: revisione.

  6. Nella pagina Review (Rivedi) inserire un nome nella casella Role name (Nome ruolo), quindi inserire una descrizione.

  7. Scegliere Create role (Crea ruolo). Il sistema visualizza di nuovo la pagina Roles (Ruoli).

  8. Nella pagina Roles (Ruoli) scegliere il ruolo appena creato per aprire la pagina Summary (Riepilogo). Annota il nome e il ruolo del ruolo ARN. Specificherai il ruolo ARN quando allegherai la PassRole policy iam: al tuo IAM account nella procedura successiva. Puoi anche specificare il nome del ruolo e i ARN runbook.

Nota

La AmazonSSMAutomationRole policy assegna l'autorizzazione al ruolo di automazione a un sottoinsieme di AWS Lambda funzioni all'interno dell'account. Queste funzioni iniziano con "Automation". Se si prevede di utilizzare l'automazione con le funzioni Lambda, Lambda ARN deve utilizzare il seguente formato:

"arn:aws:lambda:*:*:function:Automation*"

Se disponi di funzioni Lambda esistenti che ARNs non utilizzano questo formato, devi anche allegare una policy Lambda aggiuntiva al tuo ruolo di automazione, come la policy. AWSLambdaRole La policy o il ruolo aggiuntivo deve garantire un accesso più ampio alle funzioni Lambda all'interno dell' Account AWS.

Dopo aver creato il tuo ruolo di servizio, ti consigliamo di modificare la policy di attendibilità per evitare il problema del "confused deputy" tra servizi. Il problema confused deputy è un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire un'azione può costringere un'entità maggiormente privilegiata a eseguire l'azione. Inoltre AWS, l'impersonificazione tra diversi servizi può portare al confuso problema del vicesceriffo. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare che ciò accada, AWS mette a disposizione strumenti che consentono di proteggere i dati relativi a tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse del vostro account.

Ti consigliamo di utilizzare le chiavi di contesto delle condizioni globali aws:SourceArn e aws:SourceAccount nelle policy delle risorse per limitare le autorizzazioni con cui Automation fornisce un altro servizio alla risorsa. Se il aws:SourceArn valore non contiene l'ID dell'account, ad esempio un bucket Amazon S3ARN, devi utilizzare entrambe le chiavi di contesto della condizione globale per limitare le autorizzazioni. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali e il valore aws:SourceArn contiene l'ID account, il valore aws:SourceAccount e l'account nel valore aws:SourceArn deve utilizzare lo stesso ID account nella stessa dichiarazione di policy. Utilizzare aws:SourceArn se si desidera consentire l'associazione di una sola risorsa all'accesso tra servizi. Utilizza aws:SourceAccount se desideri consentire l'associazione di qualsiasi risorsa in tale account all'uso tra servizi. Il valore di aws:SourceArn deve essere il ARN per le esecuzioni di automazione. Se non conosci l'intera ARN risorsa o se stai specificando più risorse, usa la chiave aws:SourceArn global context condition con wildcards (*) per le parti sconosciute di. ARN Ad esempio arn:aws:ssm:*:123456789012:automation-execution/*.

L'esempio seguente mostra il modo in cui puoi utilizzare le chiavi di contesto delle condizioni globali aws:SourceArn e aws:SourceAccount per l'automazione per prevenire il problema confused deputy.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "ssm.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:ssm:*:123456789012:automation-execution/*"
        }
      }
    }
  ]
}
Per modificare una policy di attendibilità del ruolo

  1. Apri la IAM console all'indirizzo. https://console.aws.amazon.com/iam/

  2. Nel riquadro di navigazione, seleziona Ruoli.

  3. Nell'elenco dei ruoli dell'account, scegliere il nome del ruolo di servizio di Automation.

  4. Selezionare la scheda Trust relationships (Relazioni di trust) e scegliere Edit trust relationship (Modifica relazione di trust).

  5. Modificare la policy di attendibilità utilizzando le chiavi di contesto delle condizioni globali aws:SourceArn e aws:SourceAccount per fare in modo che Automation prevenga il problema del "confused deputy".

  6. Per salvare le modifiche, scegliere Update Trust Policy (Aggiorna policy di attendibilità).

(Facoltativo) Aggiungi una policy di automazione in linea o una policy gestita dal cliente per richiamarne altre Servizi AWS

Se si esegue un'automazione che richiama altri utenti Servizi AWS utilizzando un ruolo di servizio, il ruolo di IAM servizio deve essere configurato con l'autorizzazione a richiamare tali servizi. Questo requisito si applica a tutti i runbook di AWS automazione (AWS-*runbook) come,, e AWS-RestartEC2Instance runbook AWS-ConfigureS3BucketLoggingAWS-CreateDynamoDBBackup, solo per citarne alcuni. Questo requisito vale anche per i runbook personalizzati che utilizzano altri Servizi AWS tramite l'utilizzo di operazioni che chiamano altri servizi. Ad esempio, se utilizzi le operazioni aws:executeAwsApi. aws:CreateStack o aws:copyImage, per citarne alcune, devi configurare il ruolo di servizio con l'autorizzazione per richiamare questi servizi. Puoi concedere autorizzazioni ad altri Servizi AWS aggiungendo al ruolo una policy IAM in linea o una policy gestita dal cliente.

Per incorporare una policy in linea per un ruolo di servizio (console) IAM

  1. Accedi a AWS Management Console e apri la IAM console all'indirizzo. https://console.aws.amazon.com/iam/

  2. Nel pannello di navigazione, scegliere Roles (Ruoli).

  3. Nell'elenco, scegliere il nome del ruolo da modificare.

  4. Scegliere la scheda Permissions (Autorizzazioni).

  5. Nell'elenco a discesa Aggiungi autorizzazioni, scegli Collega policy o Crea policy inline.

  6. Se scegli Collega policy, seleziona la casella di controllo accanto alla policy che desideri aggiungere e scegli Aggiungi autorizzazioni.

  7. Se scegli Crea politica in linea, scegli la JSONscheda.

  8. Inserisci un documento di JSON policy per Servizi AWS quello che desideri richiamare. Ecco due esempi di documenti JSON Policy.

    Amazon S3 PutObject ed esempio GetObject

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}

    Amazon EC2 CreateSnapshot ed DescribeSnapShots esempio

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ec2:CreateSnapshot",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":"ec2:DescribeSnapshots",
         "Resource":"*"
      }
   ]
}

    Per i dettagli sulla lingua della IAM politica, consulta IAMJSONPolicy Reference nella Guida IAM per l'utente.

  9. Al termine, seleziona Review policy (Rivedi policy). In Policy Validator (Validatore di policy) vengono segnalati eventuali errori di sintassi.

  10. Nella pagina Review policy (Rivedi policy), inserire un Name (Nome) per la policy che stai creando. Consulta il Summary (Riepilogo) della policy per visualizzare le autorizzazioni concesse dalla policy. Seleziona Create policy (Crea policy) per salvare il proprio lavoro.

  11. Una volta creata, una policy inline viene automaticamente incorporata nel ruolo.

Attività 2: allega la PassRole policy iam: al tuo ruolo di automazione

Utilizza la procedura seguente per collegare la policy iam:PassRole al ruolo di servizio dell'automazione. Ciò consente al servizio di automazione di passare il ruolo ad altri servizi o ad altre funzionalità di Systems Manager durante l'esecuzione delle automazioni.

Per allegare la PassRole policy iam: al tuo ruolo di automazione

  1. Nella pagina Summary (Riepilogo) per il ruolo creato in precedenza, scegliere la scheda Permissions (Autorizzazioni).

  2. Scegliere Add inline policy (Aggiungi policy inline).

  3. Nella pagina Create Policy (Crea policy), scegliere la scheda Visual editor (Editor visivo).

  4. Scegli Servizio, quindi scegli IAM.

  5. Scegliere Select actions (Seleziona operazioni).

  6. Nella casella di testo Filtro azioniPassRole, digitate e scegliete l'PassRoleopzione.

  7. Scegliere Resources (Risorse). Verifica che sia selezionata l'opzione Specifico, quindi scegli Aggiungi ARN.

  8. Nel campo Specificare ARN per ruolo, incolla il ruolo di automazione ARN che hai copiato alla fine dell'Attività 1. Il sistema popola automaticamente i campi Account e Role name with path (Nome ruolo con percorso).

    Nota

    Se desideri che il ruolo del servizio di automazione associ un ruolo del profilo di IAM istanza a un'EC2istanza, devi aggiungere il ruolo ARN del profilo dell'IAMistanza. Ciò consente al ruolo del servizio di automazione di passare il ruolo del profilo dell'IAMistanza all'EC2istanza di destinazione.

  9. Scegliere Add (Aggiungi).

  10. Scegliere Review policy (Rivedi policy).

  11. Nella pagina Review Policy (Rivedi policy), inserire un nome, quindi scegliere Create Policy (Crea policy).