Esecuzione delle automazioni in più account e regioni di Regioni AWS - AWS Systems Manager
Configurazione delle autorizzazioni degli account di gestione per le automazioni in più regioni e accountEsecuzione di un'automazione in più regioni e account (console)Esecuzione di un'automazione in più regioni e account (riga di comando)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esecuzione delle automazioni in più account e regioni di Regioni AWS

Puoi eseguire le automazioni di AWS Systems Manager in più in unità organizzative (UO) di Regioni AWS e Account AWS o AWS Organizations da un account centrale. Il servizio di automazione è una funzionalità di AWS Systems Manager. L'esecuzione delle automazioni in più regioni e account o in più unità organizzative (UO) riduce il tempo richiesto per amministrare le risorse di AWS e contemporaneamente aumenta la sicurezza dell'ambiente di calcolo.

Ad esempio, puoi eseguire le operazioni seguenti utilizzando i runbook di automazione:

  • Implementa patch e aggiornamenti di sicurezza centralmente.

  • Correggi gli errori di conformità nelle configurazioni di VPC o nelle policy di bucket di Amazon S3.

  • Gestisci risorse, come istanze EC2 di Amazon Elastic Compute Cloud (Amazon EC2), su larga scala.

Il diagramma riportato di seguito mostra un esempio di utente che sta eseguendo il runbook AWS-RestartEC2Instances in più regioni e account da un account centrale. Il servizio di automazione individua le istanze mediante l'uso dei tag specificati nelle regioni e negli account di destinazione.

Nota

Quando un'automazione viene eseguita in più regioni e account, le risorse vengono definite come destinazione mediante l'uso di tag o del nome di un gruppo di risorse di AWS. Il gruppo di risorse deve esistere in ogni account e regione di destinazione. Il nome del gruppo di risorse deve essere lo stesso in ogni account e regione di destinazione. L'automazione non viene eseguita sulle risorse che non dispongono del tag specificato oppure che non sono incluse nel gruppo di risorse specificato.

Figura che mostra il servizio di automazione di Systems Manager in esecuzione in più regioni e account.
Scelta di un account centrale per l'automazione

Se desideri eseguire automazioni tra le unità organizzative, l'account centrale deve avere le autorizzazioni per elencare tutti gli account nelle unità. È possibile solo da un account amministratore delegato o dall'account di gestione dell'organizzazione. Ti consigliamo anche di seguire le best practice AWS Organizations e utilizzare un account amministratore delegato. Per ulteriori informazioni sulle best practice AWS Organizations, consulta Best practice per l'account di gestione nella Guida per l'utente di AWS Organizations. Per creare un account amministratore delegato per Systems Manager, puoi utilizzare il comando register-delegated-administrator con AWS CLI come mostrato nell'esempio seguente.

aws organizations register-delegated-administrator \
    --account-id delegated admin account ID \
    --service-principal ssm.amazonaws.com

Se desideri eseguire automazioni su più account non gestiti da AWS Organizations, ti consigliamo di creare un account dedicato per la gestione dell'automazione. L'esecuzione di tutte le automazioni tra account da un account dedicato semplifica la gestione delle autorizzazioni IAM, le operazioni di risoluzione dei problemi e crea un livello di separazione tra operazioni e amministrazione. Questo approccio è consigliato anche se si utilizza AWS Organizations, ma ci si vuole rivolgere solo a singoli account e non a unità organizzative.

Come funziona l'esecuzione delle automazioni

L'esecuzione delle automazioni in più regioni e account o nelle UO funziona nel modo descritto di seguito:

  1. Verificare che tutte le risorse su cui si desidera eseguire l'automazione, in tutte le regioni e account o nelle UO, utilizzino tag identici. Se non lo fanno, è possibile aggiungere i tag a un gruppo di risorse di AWS e definire tale gruppo come destinazione. Per ulteriori informazioni, consulta Cosa sono i gruppi di risorse? nella Guida per l'utente di AWS Resource Groups e tag.

  2. Accedere all'account da configurare come account centrale dell'automazione.

  3. Utilizzare la procedura Configurazione delle autorizzazioni degli account di gestione per le automazioni in più regioni e account descritta in questo argomento per creare i seguenti ruoli IAM.

    • AWS-SystemsManager-AutomationAdministrationRole: questo ruolo concede all'utente l'autorizzazione necessaria per eseguire le automazioni in più account e nelle UO.

    • AWS-SystemsManager-AutomationExecutionRole: questo ruolo concede all'utente l'autorizzazione necessaria per eseguire le automazioni in più account di destinazione.

  4. Scegliere il runbook, le regioni e gli account o le UO in cui eseguire l'automazione.

    Nota

    Le automazioni non vengono eseguite in modo ricorsivo tramite le OU. Assicurarsi che l'unità organizzativa di destinazione contenga gli account desiderati. Se si sceglie un runbook personalizzato, il runbook deve essere condiviso con tutti gli account di destinazione. Per informazioni sulla condivisione di runbook, consulta Condivisione di documenti SSM. Per informazioni sull'uso di runbook condivisi, consulta Utilizzo di documenti SSM condivisi.

  5. Esecuzione dell'automazione.

    Nota

    Quando si eseguono automazioni in più regioni, account o unità organizzative, l'automazione eseguita dall'account primario avvia le automazioni figlio in ciascuno degli account di destinazione. L'automazione nell'account primario ha fasi aws:executeAutomation per ciascuno degli account di destinazione. Se si avvia un'automazione da nuove regioni lanciate dopo il 20 marzo 2019 e si sceglie come destinazione una regione abilitata per impostazione predefinita, l'automazione fallisce. Se si avvia un'automazione da una regione abilitata per impostazione predefinita e si sceglie come destinazione una regione abilitata, l'automazione viene eseguita correttamente.

  6. Utilizza le operazioni API GetAutomationExecution, DescribeAutomationStepExecutions e DescribeAutomationExecutions dalla console di AWS Systems Manager o la AWS CLI per monitorare l'avanzamento dell'automazione. L'output delle fasi per l'automazione nell'account primario sarà AutomationExecutionId delle automazioni figlio. Per visualizzare l'output delle automazioni figlio create negli account di destinazione, assicurarsi di specificare l'account appropriato, la regione e AutomationExecutionId nella richiesta.

Configurazione delle autorizzazioni degli account di gestione per le automazioni in più regioni e account

Utilizzare la procedura seguente per creare i ruoli IAM richiesti per il servizio di automazione di Systems Manager in più regioni e account mediante l'uso di AWS CloudFormation. Questa procedura descrive come creare il ruolo AWS-SystemsManager-AutomationAdministrationRole. È sufficiente creare questo ruolo nell'account centrale del servizio di automazione. Questa procedura illustra inoltre come creare il ruolo AWS-SystemsManager-AutomationExecutionRole. È necessario creare questo ruolo in ogni account da definire come destinazione per l'esecuzione delle automazioni in più regioni e account. Si consiglia di utilizzare gli StackSets di AWS CloudFormation per creare il ruolo AWS-SystemsManager-AutomationExecutionRole negli account da definire come destinazione per l'esecuzione delle automazioni in più regioni e account.

Per creare i ruoli di amministrazione IAM richiesti per le automazioni in più regioni e account mediante l'uso di AWS CloudFormation

  1. Scarica e decomprimi il file AWS-SystemsManager-AutomationAdministrationRole.zip. Oppure, se i tuoi account sono gestiti da AWS Organizations AWS-SystemsManager-AutomationAdministrationRole (org).zip. Questo file contiene il file di modello di AWS-SystemsManager-AutomationAdministrationRole.yaml AWS CloudFormation.

  2. Apri la console di AWS CloudFormation all'indirizzo https://console.aws.amazon.com/cloudformation.

  3. Seleziona Crea pila.

  4. Nella sezione Specify template (Specifica il modello) sceglie Upload a template file (Carica un file modello).

  5. Scegli Browse (Sfoglia), quindi seleziona il file di modello di AWS-SystemsManager-AutomationAdministrationRole.yaml AWS CloudFormation.

  6. Seleziona Successivo.

  7. Nella pagina Specify stack details (Specifica dettagli dello stack), inserire un nome nel campo Stack name(Nome stack).

  8. Seleziona Successivo.

  9. Nella pagina Configure stack Options (Configurazione Opzioni Pila) inserisci i valori per le opzioni che desideri utilizzare. Seleziona Successivo.

  10. Nella pagina Review (Riepilogo) scorri l'elenco verso il basso e scegli l'opzione I acknowledge that AWS CloudFormation might create IAM resources with custom names (Confermo che può creare risorse IAM con nomi personalizzati).

  11. Seleziona Crea pila.

AWS CloudFormation visualizza lo stato CREATE_IN_PROGRESS per circa tre minuti. Lo stato cambia in CREATE_COMPLETE.

È necessario ripetere questa procedura per ogni account da definire come destinazione per l'esecuzione delle automazioni in più regioni e account.

Per creare i ruoli IAM di automazione richiesti per le automazioni in più regioni e account mediante l'uso di AWS CloudFormation

  1. Scarica AWS-SystemsManager-AutomationExecutionRole.zip. Oppure, se i tuoi account sono gestiti da AWS Organizations AWS-SystemsManager-AutomationExecutionRole (org).zip. Questo file contiene il file di modello di AWS-SystemsManager-AutomationExecutionRole.yaml AWS CloudFormation.

  2. Apri la console di AWS CloudFormation all'indirizzo https://console.aws.amazon.com/cloudformation.

  3. Seleziona Crea pila.

  4. Nella sezione Specify template (Specifica il modello) sceglie Upload a template file (Carica un file modello).

  5. Scegli Browse (Sfoglia), quindi seleziona il file di modello di AWS-SystemsManager-AutomationExecutionRole.yaml AWS CloudFormation.

  6. Seleziona Successivo.

  7. Nella pagina Specify stack details (Specifica dettagli dello stack), inserire un nome nel campo Stack name(Nome stack).

  8. Nella sezione Parameters (Parametri), nel campo AdminAccountId, inserisci l'ID per l'account centrale del servizio di automazione.

  9. Se stai configurando questo ruolo per un ambiente AWS Organizations, c'è un altro campo nella sezione chiamata OrganizationID. Inserisci l'ID della tua organizzazione AWS.

  10. Seleziona Successivo.

  11. Nella pagina Configure stack Options (Configurazione Opzioni Pila) inserisci i valori per le opzioni che desideri utilizzare. Seleziona Successivo.

  12. Nella pagina Review (Riepilogo) scorri l'elenco verso il basso e scegli l'opzione I acknowledge that AWS CloudFormation might create IAM resources with custom names (Confermo che può creare risorse IAM con nomi personalizzati).

  13. Seleziona Crea pila.

AWS CloudFormation visualizza lo stato CREATE_IN_PROGRESS per circa tre minuti. Lo stato cambia in CREATE_COMPLETE.

Esecuzione di un'automazione in più regioni e account (console)

La procedura seguente descrive come utilizzare la console di Systems Manager per eseguire un'automazione in più regioni e account dall'account di gestione del servizio di automazione.

Prima di iniziare

Prima di completare la procedura seguente, prendi nota delle informazioni riportate di seguito:

  • L'utente o il ruolo utilizzato per eseguire un'automazione tra più Regioni o tra più account deve disporre dell'autorizzazione iam:PassRole per il ruolo AWS-SystemsManager-AutomationAdministrationRole.

  • ID di Account AWS o UO in cui eseguire l'automazione.

  • Regioni supportate da Systems Manager dove si desidera eseguire l'automazione.

  • La chiave tag e il valore di tag, oppure il nome del gruppo di risorse, in cui eseguire l'automazione.

Per eseguire un'automazione in più regioni e account

  1. Aprire la console AWS Systems Manager all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel pannello di navigazione, scegliere Automation (Automazione), quindi Execute automation (Esegui automazione).

  3. Nell'elenco Automation document (Documento di automazione), scegliere un runbook. Scegli una o più opzioni nel pannello Document categories (Categorie di documenti) per filtrare i documenti SSM in base al loro scopo. Per visualizzare un runbook di cui si è proprietari, scegliere la scheda Owned by me (Posseduta da me). Per visualizzare un runbook condiviso con l'account, scegliere la scheda Shared with me (Condiviso con me). Per visualizzare tutti i runbook, scegliere la scheda All documents (Tutti i documenti).

    Nota

    È possibile visualizzare informazioni su un runbook scegliendo il nome del runbook.

  4. Nella sezione Document details (Dettagli documento) verificare che l'opzione Document version (Versione documento) sia impostata sulla versione che si desidera eseguire. Il sistema include le seguenti opzioni di versione:

    • Versione predefinita al runtime: scegli questa opzione se il runbook di Automazione viene aggiornato periodicamente e viene assegnata una nuova versione predefinita.

    • Ultima versione al runtime: scegli questa opzione se il runbook di automazione viene aggiornato periodicamente e si desidera che venga eseguita la versione aggiornata più di recente.

    • 1 (predefinita): scegli questa opzione per eseguire la prima versione del documento (quella predefinita).

  5. Seleziona Successivo.

  6. Nella pagina Execute automation document (Esegui documento di automazione) scegliere Multi-account and Region (Più account e regioni).

  7. Nella sezione Target accounts and Regions (Account e regioni di destinazione) utilizzare il campo Accounts and organizational (OUs) (Account e unità organizzative (UO)) per specificare i vari Account AWS o le varie unità organizzative (UO) di AWS in cui eseguire l'automazione. Separare i vari account o UO con virgole.

  8. Utilizzare l'elenco Regioni AWS per scegliere una o più regioni in cui eseguire l'automazione.

  9. Utilizzare le opzioni disponibili in Multi-Region and account rate control (Più regioni e controllo della velocità dell'account) per limitare l'automazione a un numero limitato di account in esecuzione in un numero limitato di regioni. Queste opzioni non limitano il numero di risorse di AWS in grado di eseguire le automazioni.

    1. Nella sezione Location (account-Region pair) concurrency (Posizione (coppia account-regione) simultanea) scegliere un'opzione per limitare il numero di automazioni che possono essere eseguite contemporaneamente in più account e regioni. Ad esempio, se si sceglie di eseguire un'automazione in cinque (5) Account AWS che si trovano in quattro (4) Regioni AWS, Systems Manager esegue le automazioni in un totale di 20 coppie account-regione. È possibile utilizzare questa opzione per specificare un numero assoluto, ad esempio 2, in modo che l'automazione venga eseguita solo in due coppie account-regione nello stesso momento. In alternativa, è possibile specificare una percentuale delle coppie account-regione in grado di eseguire l'automazione nello stesso momento. Ad esempio, con 20 coppie account-regione, se si specifica 20%, l'automazione verrà eseguita contemporaneamente in un massimo di cinque (5) coppie account-regione.

      • Scegliere targets (destinazioni) per inserire un numero assoluto di coppie account-regione che possono eseguire contemporaneamente l'automazione.

      • Scegliere percent (percentuale) per inserire una percentuale del numero totale di coppie account-regione che possono eseguire contemporaneamente l'automazione.

    2. Nella sezione Error threshold (Soglia di errore) scegliere un'opzione:

      • Scegliere errors (errori) per inserire un numero assoluto di errori consentiti, raggiunto il quale il servizio di automazione interrompe l'invio dell'automazione alle altre risorse.

      • Scegliere percent (percentuale) per inserire la percentuale di errori consentiti, raggiunta la quale il servizio di automazione interrompe l'invio dell'automazione alle altre risorse.

  10. Nella sezione Targets (Destinazioni) scegliere il modo in cui si desidera definire le risorse di AWS come destinazione in cui si desidera eseguire il servizio di automazione. Queste opzioni sono obbligatorie.

    1. Utilizza l'elenco Parameter (Parametro) per scegliere un parametro. Le voci nell'elenco Parameter (Parametro) sono determinate dai parametri presenti nel runbook del servizio di automazione selezionato all'inizio di questa procedura. È necessario scegliere un parametro per definire il tipo di risorsa su cui viene eseguito il flusso di lavoro del servizio di automazione.

    2. Utilizza l'elenco Targets (Destinazioni) per scegliere come si desidera definire le risorse come destinazione.

      1. Se è stato deciso di definire le risorse come destinazione mediante i valori dei parametri, inserire il valore del parametro per il parametro selezionato nella sezione Input parameters (Parametri di input).

      2. Se è stato deciso di definire le risorse come destinazione mediante AWS Resource Groups, scegliere il nome del gruppo nell'elenco Resource Group (Gruppo di risorse).

      3. Se è stato deciso di definire le risorse come destinazione mediante i tag, inserire la chiave e (facoltativamente) il valore del tag nei campi disponibili. Scegli Add (Aggiungi).

      4. Se si desidera eseguire un runbook del servizio di automazione su tutte le istanze nell'Account AWS e nell'Regione AWS attuali, scegliere All instances (Tutte le istanze).

  11. Nella sezione Input parameters (Parametri di input) specifica i parametri obbligatori. Scegli il ruolo di servizio IAM AWS-SystemsManager-AutomationAdministrationRole dall'elenco AutomationAssumeRole.

    Nota

    Potrebbe non essere necessario scegliere alcune delle opzioni nella sezione Input parameters (Inserisci Parametri). Ciò è dovuto al fatto che le risorse sono state definite come destinazione in più regioni e account mediante i tag o un gruppo di risorse. Ad esempio, se è stato scelto il runbook AWS-RestartEC2Instance, non sarà necessario specificare o scegliere gli ID di istanza nella sezione Input parameters (Parametri di input). L'automazione individua le istanze da riavviare utilizzando i tag specificati.

  12. (Facoltativo) Scegli un allarme CloudWatch da applicare all'automazione per il monitoraggio. Per allegare un allarme CloudWatch all'automazione, il principale IAM che la avvia deve disporre dell'autorizzazione per l'operazione iam:createServiceLinkedRole. Per ulteriori informazioni sugli allarmi CloudWatch, consulta Utilizzo degli allarmi di Amazon CloudWatch. Se si attiva l'allarme, l'automazione viene annullata e qualsiasi fase OnCancel definita viene eseguita. Se utilizzi AWS CloudTrail, vedrai la chiamata API nel tuo percorso.

  13. Utilizzare le opzioni disponibili nella sezione Rate control (Controllo velocità) per limitare il numero di risorse di AWS che possono eseguire l'automazione all'interno di ciascuna coppia account-regione.

    Nella sezione Concurrency (Simultaneità) scegliere un'opzione:

    • Scegliere Targets (Destinazioni) per inserire un numero assoluto di destinazioni che possono eseguire contemporaneamente il flusso di lavoro del servizio di automazione.

    • Scegliere Percentage (Percentuale) per inserire la percentuale della serie di destinazioni che può eseguire contemporaneamente il flusso di lavoro del servizio di automazione.

  14. Nella sezione Error threshold (Soglia di errore). scegliere un'opzione:

    • Scegliere errors (errori) per inserire un numero assoluto di errori consentiti, raggiunto il quale il servizio di automazione interrompe l'invio del flusso di lavoro alle altre risorse.

    • Scegli percentage (percentuale) per inserire una percentuale di errori consentiti, raggiunta la quale il servizio di automazione interrompe l'invio del flusso di lavoro alle altre risorse.

  15. Scegliere Execute (Esegui).

Esecuzione di un'automazione in più regioni e account (riga di comando)

La procedura seguente descrive come utilizzare AWS CLI (su Linux o Windows) o AWS Tools for PowerShell per eseguire un'automazione in più regioni e account dall'account di gestione del servizio di automazione.

Prima di iniziare

Prima di completare la procedura seguente, prendi nota delle informazioni riportate di seguito:

  • ID di Account AWS o UO in cui eseguire l'automazione.

  • Regioni supportate da Systems Manager dove si desidera eseguire l'automazione.

  • La chiave tag e il valore di tag, oppure il nome del gruppo di risorse, in cui eseguire l'automazione.

Per eseguire un'automazione in più regioni e account

  1. Se non è già stato fatto, installare e configurare AWS CLI o AWS Tools for PowerShell.

    Per informazioni, consulta le pagine Installazione o aggiornamento della versione più recente di AWS CLI e Installazione di AWS Tools for PowerShell.

  2. Utilizzare il formato seguente per creare un comando per eseguire un'automazione in più regioni e account. Sostituisci ciascun segnaposto delle risorse di esempio con le tue informazioni.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name runbook name \
        --parameters AutomationAssumeRole=arn:aws:iam::management account ID:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name parameter name \
        --targets Key=tag key,Values=value \
        --target-locations Accounts=account ID,account ID 2,Regions=Region,Region 2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name runbook name ^
        --parameters AutomationAssumeRole=arn:aws:iam::management account ID:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name parameter name ^
        --targets Key=tag key,Values=value ^
        --target-locations Accounts=account ID,account ID 2,Regions=Region,Region 2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "tag key"
    $Targets.Values = "value"
    
    Start-SSMAutomationExecution `
        -DocumentName "runbook name" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::management account ID:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "parameter name" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="account ID","account ID 2";
        "Regions"="Region","Region 2";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    Di seguito sono riportati vari esempi:

    Esempio 1: questo esempio riavvia le istanze di EC2 negli account 123456789012 e 987654321098, che si trovano nelle regioni us-east-2 e us-west-1. Le istanze devono essere contrassegnate con il valore della coppia di chiavi di tag Env-PROD.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name AWS-RestartEC2Instance \
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name InstanceId \
        --targets Key=tag:Env,Values=PROD \
        --target-locations Accounts=123456789012,987654321098,Regions=us-east-2,us-west-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name AWS-RestartEC2Instance ^
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name InstanceId ^
        --targets Key=tag:Env,Values=PROD ^
        --target-locations Accounts=123456789012,987654321098,Regions=us-east-2,us-west-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "tag:Env"
    $Targets.Values = "PROD"
    
    Start-SSMAutomationExecution `
        -DocumentName "AWS-RestartEC2Instance" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "InstanceId" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="123456789012","987654321098";
        "Regions"="us-east-2","us-west-1";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    Esempio 2: questo esempio riavvia le istanze di EC2 negli account 123456789012 e 987654321098, che si trovano nella regione eu-central-1. Le istanze devono essere membri del gruppo di risorse prod-instances AWS.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name AWS-RestartEC2Instance \
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name InstanceId \
        --targets Key=ResourceGroup,Values=prod-instances \
        --target-locations Accounts=123456789012,987654321098,Regions=eu-central-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name AWS-RestartEC2Instance ^
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name InstanceId ^
        --targets Key=ResourceGroup,Values=prod-instances ^
        --target-locations Accounts=123456789012,987654321098,Regions=eu-central-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "ResourceGroup"
    $Targets.Values = "prod-instances"
    
    Start-SSMAutomationExecution `
        -DocumentName "AWS-RestartEC2Instance" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "InstanceId" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="123456789012","987654321098";
        "Regions"="eu-central-1";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    Esempio 3: questo esempio riavvia le istanze di EC2 nell'unità organizzativa (UO) ou-1a2b3c-4d5e6c AWS. Le istanze si trovano nelle regioni us-west-1 e us-west-2. Le istanze devono essere membri del gruppo di risorse WebServices AWS.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name AWS-RestartEC2Instance \
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name InstanceId \
        --targets Key=ResourceGroup,Values=WebServices \
        --target-locations Accounts=ou-1a2b3c-4d5e6c,Regions=us-west-1,us-west-2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name AWS-RestartEC2Instance ^
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name InstanceId ^
        --targets Key=ResourceGroup,Values=WebServices ^
        --target-locations Accounts=ou-1a2b3c-4d5e6c,Regions=us-west-1,us-west-2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "ResourceGroup"
    $Targets.Values = "WebServices"
    
    Start-SSMAutomationExecution `
        -DocumentName "AWS-RestartEC2Instance" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "InstanceId" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="ou-1a2b3c-4d5e6c";
        "Regions"="us-west-1";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    Questo sistema restituisce informazioni simili alle seguenti.

    Linux & macOS
    {
        "AutomationExecutionId": "4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE"
    }
    Windows
    {
        "AutomationExecutionId": "4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE"
    }
    PowerShell
    4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE

  3. Eseguire il comando seguente per visualizzare i dettagli relativi all'automazione. Sostituisci automation execution ID (ID di esecuzione automatica) con le tue informazioni.

    Linux & macOS
    aws ssm describe-automation-executions \
        --filters Key=ExecutionId,Values=automation execution ID
    Windows
    aws ssm describe-automation-executions ^
        --filters Key=ExecutionId,Values=automation execution ID
    PowerShell
    Get-SSMAutomationExecutionList | `
        Where {$_.AutomationExecutionId -eq "automation execution ID"}

  4. Eseguire il comando seguente per visualizzare i dettagli relativi allo stato di avanzamento dell'automazione.

    Linux & macOS
    aws ssm get-automation-execution \
        --automation-execution-id 4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE
    Windows
    aws ssm get-automation-execution ^
        --automation-execution-id 4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE
    PowerShell
    Get-SSMAutomationExecution `
        -AutomationExecutionId a4a3c0e9-7efd-462a-8594-01234EXAMPLE
    Nota

    È inoltre possibile monitorare lo stato dell'automazione nella console. Nell'elenco delle Automation executions (Esecuzioni di automazione) scegliere l'automazione appena eseguita e quindi scegliere la scheda Execution steps (Fasi di esecuzione). In questa scheda viene mostrato lo stato delle operazioni di automazione.

Ulteriori informazioni

Applicazione di patch centralizzata per più account e regioni con il servizio di automazione di AWS Systems Manager