Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esecuzione delle automazioni in più account e regioni di Regioni AWS
Puoi eseguire le automazioni di AWS Systems Manager in più in unità organizzative (UO) di Regioni AWS e Account AWS o AWS Organizations da un account centrale. Il servizio di automazione è una funzionalità di AWS Systems Manager. L'esecuzione delle automazioni in più regioni e account o in più unità organizzative (UO) riduce il tempo richiesto per amministrare le risorse di AWS e contemporaneamente aumenta la sicurezza dell'ambiente di calcolo.
Ad esempio, puoi eseguire le operazioni seguenti utilizzando i runbook di automazione:
-
Implementa patch e aggiornamenti di sicurezza centralmente.
-
Correggi gli errori di conformità nelle configurazioni di VPC o nelle policy di bucket di Amazon S3.
-
Gestisci risorse, come istanze EC2 di Amazon Elastic Compute Cloud (Amazon EC2), su larga scala.
Il diagramma riportato di seguito mostra un esempio di utente che sta eseguendo il runbook AWS-RestartEC2Instances
in più regioni e account da un account centrale. Il servizio di automazione individua le istanze mediante l'uso dei tag specificati nelle regioni e negli account di destinazione.
Nota
Quando un'automazione viene eseguita in più regioni e account, le risorse vengono definite come destinazione mediante l'uso di tag o del nome di un gruppo di risorse di AWS. Il gruppo di risorse deve esistere in ogni account e regione di destinazione. Il nome del gruppo di risorse deve essere lo stesso in ogni account e regione di destinazione. L'automazione non viene eseguita sulle risorse che non dispongono del tag specificato oppure che non sono incluse nel gruppo di risorse specificato.
![Figura che mostra il servizio di automazione di Systems Manager in esecuzione in più regioni e account.](images/automation-multi-region-and-multi-account.png)
Scelta di un account centrale per l'automazione
Se desideri eseguire automazioni tra le unità organizzative, l'account centrale deve avere le autorizzazioni per elencare tutti gli account nelle unità. È possibile solo da un account amministratore delegato o dall'account di gestione dell'organizzazione. Ti consigliamo anche di seguire le best practice AWS Organizations e utilizzare un account amministratore delegato. Per ulteriori informazioni sulle best practice AWS Organizations, consulta Best practice per l'account di gestione nella Guida per l'utente di AWS Organizations. Per creare un account amministratore delegato per Systems Manager, puoi utilizzare il comando register-delegated-administrator
con AWS CLI come mostrato nell'esempio seguente.
aws organizations register-delegated-administrator \ --account-id
delegated admin account ID
\ --service-principal ssm.amazonaws.com
Se desideri eseguire automazioni su più account non gestiti da AWS Organizations, ti consigliamo di creare un account dedicato per la gestione dell'automazione. L'esecuzione di tutte le automazioni tra account da un account dedicato semplifica la gestione delle autorizzazioni IAM, le operazioni di risoluzione dei problemi e crea un livello di separazione tra operazioni e amministrazione. Questo approccio è consigliato anche se si utilizza AWS Organizations, ma ci si vuole rivolgere solo a singoli account e non a unità organizzative.
Come funziona l'esecuzione delle automazioni
L'esecuzione delle automazioni in più regioni e account o nelle UO funziona nel modo descritto di seguito:
-
Verificare che tutte le risorse su cui si desidera eseguire l'automazione, in tutte le regioni e account o nelle UO, utilizzino tag identici. Se non lo fanno, è possibile aggiungere i tag a un gruppo di risorse di AWS e definire tale gruppo come destinazione. Per ulteriori informazioni, consulta Cosa sono i gruppi di risorse? nella Guida per l'utente di AWS Resource Groups e tag.
-
Accedere all'account da configurare come account centrale dell'automazione.
-
Utilizzare la procedura Configurazione delle autorizzazioni degli account di gestione per le automazioni in più regioni e account descritta in questo argomento per creare i seguenti ruoli IAM.
-
AWS-SystemsManager-AutomationAdministrationRole
: questo ruolo concede all'utente l'autorizzazione necessaria per eseguire le automazioni in più account e nelle UO. -
AWS-SystemsManager-AutomationExecutionRole
: questo ruolo concede all'utente l'autorizzazione necessaria per eseguire le automazioni in più account di destinazione.
-
-
Scegliere il runbook, le regioni e gli account o le UO in cui eseguire l'automazione.
Nota
Le automazioni non vengono eseguite in modo ricorsivo tramite le OU. Assicurarsi che l'unità organizzativa di destinazione contenga gli account desiderati. Se si sceglie un runbook personalizzato, il runbook deve essere condiviso con tutti gli account di destinazione. Per informazioni sulla condivisione di runbook, consulta Condivisione di documenti SSM. Per informazioni sull'uso di runbook condivisi, consulta Utilizzo di documenti SSM condivisi.
-
Esecuzione dell'automazione.
Nota
Quando si eseguono automazioni in più regioni, account o unità organizzative, l'automazione eseguita dall'account primario avvia le automazioni figlio in ciascuno degli account di destinazione. L'automazione nell'account primario ha fasi
aws:executeAutomation
per ciascuno degli account di destinazione. Se si avvia un'automazione da nuove regioni lanciate dopo il 20 marzo 2019 e si sceglie come destinazione una regione abilitata per impostazione predefinita, l'automazione fallisce. Se si avvia un'automazione da una regione abilitata per impostazione predefinita e si sceglie come destinazione una regione abilitata, l'automazione viene eseguita correttamente. -
Utilizza le operazioni API GetAutomationExecution, DescribeAutomationStepExecutions e DescribeAutomationExecutions dalla console di AWS Systems Manager o la AWS CLI per monitorare l'avanzamento dell'automazione. L'output delle fasi per l'automazione nell'account primario sarà
AutomationExecutionId
delle automazioni figlio. Per visualizzare l'output delle automazioni figlio create negli account di destinazione, assicurarsi di specificare l'account appropriato, la regione eAutomationExecutionId
nella richiesta.
Configurazione delle autorizzazioni degli account di gestione per le automazioni in più regioni e account
Utilizzare la procedura seguente per creare i ruoli IAM richiesti per il servizio di automazione di Systems Manager in più regioni e account mediante l'uso di AWS CloudFormation. Questa procedura descrive come creare il ruolo AWS-SystemsManager-AutomationAdministrationRole
. È sufficiente creare questo ruolo nell'account centrale del servizio di automazione. Questa procedura illustra inoltre come creare il ruolo AWS-SystemsManager-AutomationExecutionRole
. È necessario creare questo ruolo in ogni account da definire come destinazione per l'esecuzione delle automazioni in più regioni e account. Si consiglia di utilizzare gli StackSets di AWS CloudFormation per creare il ruolo AWS-SystemsManager-AutomationExecutionRole
negli account da definire come destinazione per l'esecuzione delle automazioni in più regioni e account.
Per creare i ruoli di amministrazione IAM richiesti per le automazioni in più regioni e account mediante l'uso di AWS CloudFormation
-
Scarica e decomprimi il file
AWS-SystemsManager-AutomationAdministrationRole.zip
. Oppure, se i tuoi account sono gestiti da AWS OrganizationsAWS-SystemsManager-AutomationAdministrationRole (org).zip
. Questo file contiene il file di modello diAWS-SystemsManager-AutomationAdministrationRole.yaml
AWS CloudFormation. Apri la console di AWS CloudFormation all'indirizzo https://console.aws.amazon.com/cloudformation
. -
Seleziona Crea pila.
-
Nella sezione Specify template (Specifica il modello) sceglie Upload a template file (Carica un file modello).
-
Scegli Browse (Sfoglia), quindi seleziona il file di modello di
AWS-SystemsManager-AutomationAdministrationRole.yaml
AWS CloudFormation. -
Seleziona Successivo.
-
Nella pagina Specify stack details (Specifica dettagli dello stack), inserire un nome nel campo Stack name(Nome stack).
-
Seleziona Successivo.
-
Nella pagina Configure stack Options (Configurazione Opzioni Pila) inserisci i valori per le opzioni che desideri utilizzare. Seleziona Successivo.
-
Nella pagina Review (Riepilogo) scorri l'elenco verso il basso e scegli l'opzione I acknowledge that AWS CloudFormation might create IAM resources with custom names (Confermo che può creare risorse IAM con nomi personalizzati).
-
Seleziona Crea pila.
AWS CloudFormation visualizza lo stato CREATE_IN_PROGRESS per circa tre minuti. Lo stato cambia in CREATE_COMPLETE.
È necessario ripetere questa procedura per ogni account da definire come destinazione per l'esecuzione delle automazioni in più regioni e account.
Per creare i ruoli IAM di automazione richiesti per le automazioni in più regioni e account mediante l'uso di AWS CloudFormation
-
Scarica
AWS-SystemsManager-AutomationExecutionRole.zip
. Oppure, se i tuoi account sono gestiti da AWS OrganizationsAWS-SystemsManager-AutomationExecutionRole (org).zip
. Questo file contiene il file di modello diAWS-SystemsManager-AutomationExecutionRole.yaml
AWS CloudFormation. Apri la console di AWS CloudFormation all'indirizzo https://console.aws.amazon.com/cloudformation
. -
Seleziona Crea pila.
-
Nella sezione Specify template (Specifica il modello) sceglie Upload a template file (Carica un file modello).
-
Scegli Browse (Sfoglia), quindi seleziona il file di modello di
AWS-SystemsManager-AutomationExecutionRole.yaml
AWS CloudFormation. -
Seleziona Successivo.
-
Nella pagina Specify stack details (Specifica dettagli dello stack), inserire un nome nel campo Stack name(Nome stack).
-
Nella sezione Parameters (Parametri), nel campo AdminAccountId, inserisci l'ID per l'account centrale del servizio di automazione.
-
Se stai configurando questo ruolo per un ambiente AWS Organizations, c'è un altro campo nella sezione chiamata OrganizationID. Inserisci l'ID della tua organizzazione AWS.
-
Seleziona Successivo.
-
Nella pagina Configure stack Options (Configurazione Opzioni Pila) inserisci i valori per le opzioni che desideri utilizzare. Seleziona Successivo.
-
Nella pagina Review (Riepilogo) scorri l'elenco verso il basso e scegli l'opzione I acknowledge that AWS CloudFormation might create IAM resources with custom names (Confermo che può creare risorse IAM con nomi personalizzati).
-
Seleziona Crea pila.
AWS CloudFormation visualizza lo stato CREATE_IN_PROGRESS per circa tre minuti. Lo stato cambia in CREATE_COMPLETE.
Esecuzione di un'automazione in più regioni e account (console)
La procedura seguente descrive come utilizzare la console di Systems Manager per eseguire un'automazione in più regioni e account dall'account di gestione del servizio di automazione.
Prima di iniziare
Prima di completare la procedura seguente, prendi nota delle informazioni riportate di seguito:
-
L'utente o il ruolo utilizzato per eseguire un'automazione tra più Regioni o tra più account deve disporre dell'autorizzazione
iam:PassRole
per il ruoloAWS-SystemsManager-AutomationAdministrationRole
. -
ID di Account AWS o UO in cui eseguire l'automazione.
-
Regioni supportate da Systems Manager dove si desidera eseguire l'automazione.
-
La chiave tag e il valore di tag, oppure il nome del gruppo di risorse, in cui eseguire l'automazione.
Per eseguire un'automazione in più regioni e account
Aprire la console AWS Systems Manager all'indirizzo https://console.aws.amazon.com/systems-manager/
. -
Nel pannello di navigazione, scegliere Automation (Automazione), quindi Execute automation (Esegui automazione).
-
Nell'elenco Automation document (Documento di automazione), scegliere un runbook. Scegli una o più opzioni nel pannello Document categories (Categorie di documenti) per filtrare i documenti SSM in base al loro scopo. Per visualizzare un runbook di cui si è proprietari, scegliere la scheda Owned by me (Posseduta da me). Per visualizzare un runbook condiviso con l'account, scegliere la scheda Shared with me (Condiviso con me). Per visualizzare tutti i runbook, scegliere la scheda All documents (Tutti i documenti).
Nota
È possibile visualizzare informazioni su un runbook scegliendo il nome del runbook.
-
Nella sezione Document details (Dettagli documento) verificare che l'opzione Document version (Versione documento) sia impostata sulla versione che si desidera eseguire. Il sistema include le seguenti opzioni di versione:
-
Versione predefinita al runtime: scegli questa opzione se il runbook di Automazione viene aggiornato periodicamente e viene assegnata una nuova versione predefinita.
-
Ultima versione al runtime: scegli questa opzione se il runbook di automazione viene aggiornato periodicamente e si desidera che venga eseguita la versione aggiornata più di recente.
-
1 (predefinita): scegli questa opzione per eseguire la prima versione del documento (quella predefinita).
-
-
Seleziona Successivo.
-
Nella pagina Execute automation document (Esegui documento di automazione) scegliere Multi-account and Region (Più account e regioni).
-
Nella sezione Target accounts and Regions (Account e regioni di destinazione) utilizzare il campo Accounts and organizational (OUs) (Account e unità organizzative (UO)) per specificare i vari Account AWS o le varie unità organizzative (UO) di AWS in cui eseguire l'automazione. Separare i vari account o UO con virgole.
-
Utilizzare l'elenco Regioni AWS per scegliere una o più regioni in cui eseguire l'automazione.
-
Utilizzare le opzioni disponibili in Multi-Region and account rate control (Più regioni e controllo della velocità dell'account) per limitare l'automazione a un numero limitato di account in esecuzione in un numero limitato di regioni. Queste opzioni non limitano il numero di risorse di AWS in grado di eseguire le automazioni.
-
Nella sezione Location (account-Region pair) concurrency (Posizione (coppia account-regione) simultanea) scegliere un'opzione per limitare il numero di automazioni che possono essere eseguite contemporaneamente in più account e regioni. Ad esempio, se si sceglie di eseguire un'automazione in cinque (5) Account AWS che si trovano in quattro (4) Regioni AWS, Systems Manager esegue le automazioni in un totale di 20 coppie account-regione. È possibile utilizzare questa opzione per specificare un numero assoluto, ad esempio
2
, in modo che l'automazione venga eseguita solo in due coppie account-regione nello stesso momento. In alternativa, è possibile specificare una percentuale delle coppie account-regione in grado di eseguire l'automazione nello stesso momento. Ad esempio, con 20 coppie account-regione, se si specifica 20%, l'automazione verrà eseguita contemporaneamente in un massimo di cinque (5) coppie account-regione.-
Scegliere targets (destinazioni) per inserire un numero assoluto di coppie account-regione che possono eseguire contemporaneamente l'automazione.
-
Scegliere percent (percentuale) per inserire una percentuale del numero totale di coppie account-regione che possono eseguire contemporaneamente l'automazione.
-
-
Nella sezione Error threshold (Soglia di errore) scegliere un'opzione:
-
Scegliere errors (errori) per inserire un numero assoluto di errori consentiti, raggiunto il quale il servizio di automazione interrompe l'invio dell'automazione alle altre risorse.
-
Scegliere percent (percentuale) per inserire la percentuale di errori consentiti, raggiunta la quale il servizio di automazione interrompe l'invio dell'automazione alle altre risorse.
-
-
Nella sezione Targets (Destinazioni) scegliere il modo in cui si desidera definire le risorse di AWS come destinazione in cui si desidera eseguire il servizio di automazione. Queste opzioni sono obbligatorie.
-
Utilizza l'elenco Parameter (Parametro) per scegliere un parametro. Le voci nell'elenco Parameter (Parametro) sono determinate dai parametri presenti nel runbook del servizio di automazione selezionato all'inizio di questa procedura. È necessario scegliere un parametro per definire il tipo di risorsa su cui viene eseguito il flusso di lavoro del servizio di automazione.
-
Utilizza l'elenco Targets (Destinazioni) per scegliere come si desidera definire le risorse come destinazione.
Se è stato deciso di definire le risorse come destinazione mediante i valori dei parametri, inserire il valore del parametro per il parametro selezionato nella sezione Input parameters (Parametri di input).
Se è stato deciso di definire le risorse come destinazione mediante AWS Resource Groups, scegliere il nome del gruppo nell'elenco Resource Group (Gruppo di risorse).
Se è stato deciso di definire le risorse come destinazione mediante i tag, inserire la chiave e (facoltativamente) il valore del tag nei campi disponibili. Scegli Add (Aggiungi).
Se si desidera eseguire un runbook del servizio di automazione su tutte le istanze nell'Account AWS e nell'Regione AWS attuali, scegliere All instances (Tutte le istanze).
-
-
Nella sezione Input parameters (Parametri di input) specifica i parametri obbligatori. Scegli il ruolo di servizio IAM
AWS-SystemsManager-AutomationAdministrationRole
dall'elenco AutomationAssumeRole.Nota
Potrebbe non essere necessario scegliere alcune delle opzioni nella sezione Input parameters (Inserisci Parametri). Ciò è dovuto al fatto che le risorse sono state definite come destinazione in più regioni e account mediante i tag o un gruppo di risorse. Ad esempio, se è stato scelto il runbook
AWS-RestartEC2Instance
, non sarà necessario specificare o scegliere gli ID di istanza nella sezione Input parameters (Parametri di input). L'automazione individua le istanze da riavviare utilizzando i tag specificati. -
(Facoltativo) Scegli un allarme CloudWatch da applicare all'automazione per il monitoraggio. Per allegare un allarme CloudWatch all'automazione, il principale IAM che la avvia deve disporre dell'autorizzazione per l'operazione
iam:createServiceLinkedRole
. Per ulteriori informazioni sugli allarmi CloudWatch, consulta Utilizzo degli allarmi di Amazon CloudWatch. Se si attiva l'allarme, l'automazione viene annullata e qualsiasi faseOnCancel
definita viene eseguita. Se utilizzi AWS CloudTrail, vedrai la chiamata API nel tuo percorso. -
Utilizzare le opzioni disponibili nella sezione Rate control (Controllo velocità) per limitare il numero di risorse di AWS che possono eseguire l'automazione all'interno di ciascuna coppia account-regione.
Nella sezione Concurrency (Simultaneità) scegliere un'opzione:
-
Scegliere Targets (Destinazioni) per inserire un numero assoluto di destinazioni che possono eseguire contemporaneamente il flusso di lavoro del servizio di automazione.
-
Scegliere Percentage (Percentuale) per inserire la percentuale della serie di destinazioni che può eseguire contemporaneamente il flusso di lavoro del servizio di automazione.
-
-
Nella sezione Error threshold (Soglia di errore). scegliere un'opzione:
-
Scegliere errors (errori) per inserire un numero assoluto di errori consentiti, raggiunto il quale il servizio di automazione interrompe l'invio del flusso di lavoro alle altre risorse.
-
Scegli percentage (percentuale) per inserire una percentuale di errori consentiti, raggiunta la quale il servizio di automazione interrompe l'invio del flusso di lavoro alle altre risorse.
-
-
Scegliere Execute (Esegui).
Esecuzione di un'automazione in più regioni e account (riga di comando)
La procedura seguente descrive come utilizzare AWS CLI (su Linux o Windows) o AWS Tools for PowerShell per eseguire un'automazione in più regioni e account dall'account di gestione del servizio di automazione.
Prima di iniziare
Prima di completare la procedura seguente, prendi nota delle informazioni riportate di seguito:
-
ID di Account AWS o UO in cui eseguire l'automazione.
-
Regioni supportate da Systems Manager dove si desidera eseguire l'automazione.
-
La chiave tag e il valore di tag, oppure il nome del gruppo di risorse, in cui eseguire l'automazione.
Per eseguire un'automazione in più regioni e account
Se non è già stato fatto, installare e configurare AWS CLI o AWS Tools for PowerShell.
Per informazioni, consulta le pagine Installazione o aggiornamento della versione più recente di AWS CLI e Installazione di AWS Tools for PowerShell.
-
Utilizzare il formato seguente per creare un comando per eseguire un'automazione in più regioni e account. Sostituisci ciascun
segnaposto delle risorse di esempio
con le tue informazioni.Di seguito sono riportati vari esempi:
Esempio 1: questo esempio riavvia le istanze di EC2 negli account
123456789012
e987654321098
, che si trovano nelle regionius-east-2
eus-west-1
. Le istanze devono essere contrassegnate con il valore della coppia di chiavi di tagEnv-PROD
.Esempio 2: questo esempio riavvia le istanze di EC2 negli account
123456789012
e987654321098
, che si trovano nella regioneeu-central-1
. Le istanze devono essere membri del gruppo di risorseprod-instances
AWS.Esempio 3: questo esempio riavvia le istanze di EC2 nell'unità organizzativa (UO)
ou-1a2b3c-4d5e6c
AWS. Le istanze si trovano nelle regionius-west-1
eus-west-2
. Le istanze devono essere membri del gruppo di risorseWebServices
AWS.Questo sistema restituisce informazioni simili alle seguenti.
-
Eseguire il comando seguente per visualizzare i dettagli relativi all'automazione. Sostituisci
automation execution ID
(ID di esecuzione automatica) con le tue informazioni. -
Eseguire il comando seguente per visualizzare i dettagli relativi allo stato di avanzamento dell'automazione.
Nota
È inoltre possibile monitorare lo stato dell'automazione nella console. Nell'elenco delle Automation executions (Esecuzioni di automazione) scegliere l'automazione appena eseguita e quindi scegliere la scheda Execution steps (Fasi di esecuzione). In questa scheda viene mostrato lo stato delle operazioni di automazione.