Utilizzo della console per configurare le autorizzazioni per le finestre di manutenzione - AWS Systems Manager
Attività 1: creazione di una policy per il ruolo di servizio personalizzato per la finestra di manutenzioneAttività 2: (facoltativa) creazione di un ruolo di servizio personalizzato per le finestre di manutenzione (console)Attività 3: configurazione delle autorizzazioni per gli utenti autorizzati a registrare le attività della finestra di manutenzione (console)Attività 4: configurazione delle autorizzazioni per gli utenti non autorizzati a registrare le attività della finestra di manutenzione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo della console per configurare le autorizzazioni per le finestre di manutenzione

Le procedure seguenti descrivono come utilizzare la console AWS Systems Manager per creare i ruoli e le autorizzazioni necessarie per le finestre di manutenzione.

Attività 1: creazione di una policy per il ruolo di servizio personalizzato per la finestra di manutenzione

Puoi utilizzare la seguente policy in formato JSON per creare la policy da utilizzare con il ruolo della finestra di manutenzione. Dovrai collegare questa policy al ruolo che creerai successivamente in Attività 2: (facoltativa) creazione di un ruolo di servizio personalizzato per le finestre di manutenzione (console).

Importante

A seconda delle attività e dei tipi di attività eseguite dalle finestre di manutenzione, è possibile che non tutte le autorizzazioni in questa policy siano necessarie, mentre potrebbe rendersi necessario includere autorizzazioni aggiuntive.

Creare una policy per il ruolo di servizio personalizzato per la finestra di manutenzione

  1. Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, seleziona Policies (Policy) e Create Policy (Crea policy).

  3. Scegliere la scheda JSON.

  4. Sostituisci i contenuti di default con il seguente:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand",
                "ssm:CancelCommand",
                "ssm:ListCommands",
                "ssm:ListCommandInvocations",
                "ssm:GetCommandInvocation",
                "ssm:GetAutomationExecution",
                "ssm:StartAutomationExecution",
                "ssm:ListTagsForResource",
                "ssm:GetParameters"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "states:DescribeExecution",
                "states:StartExecution"
            ],
            "Resource": [
                "arn:aws:states:*:*:execution:*:*",
                "arn:aws:states:*:*:stateMachine:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "lambda:InvokeFunction"
            ],
            "Resource": [
                "arn:aws:lambda:*:*:function:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "resource-groups:ListGroups",
                "resource-groups:ListGroupResources"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "tag:GetResources"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "ssm.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

  5. Modifica il contenuto JSON secondo necessità per le attività di manutenzione eseguite nel tuo account. Le modifiche apportate sono specifiche per le operazioni pianificate.

    Ad esempio:

    • Puoi fornire nomi della risorsa Amazon (ARN) per funzioni specifiche e macchine a stati invece di utilizzare i qualificatori jolly (*).

    • Se non prevedi l'esecuzione di attività AWS Step Functions, puoi rimuovere le autorizzazioni states e gli ARN.

    • Se non prevedi l'esecuzione di attività AWS Lambda, puoi rimuovere le autorizzazioni lambda e gli ARN.

    • Se non prevedi l'esecuzione di attività di automazione, puoi rimuovere le autorizzazioni ssm:GetAutomationExecution e ssm:StartAutomationExecution.

    • Aggiungi le autorizzazioni supplementari che potrebbero essere necessarie per l'esecuzione delle attività. Ad esempio, alcune operazioni di automazione utilizzano gli stack di AWS CloudFormation. Pertanto, servono le autorizzazioni cloudformation:CreateStack, cloudformation:DescribeStacks e cloudformation:DeleteStack.

      Un altro esempio: il runbook di automazione AWS-CopySnapshot richiede le autorizzazioni per creare uno snapshot Amazon Elastic Block Store (Amazon EBS). Pertanto, il ruolo di servizio richiede l’autorizzazione ec2:CreateSnapshot.

      Per informazioni sulle autorizzazioni di ruolo necessarie per i runbook di automazione, consulta le descrizioni dei runbook nei AWS Systems ManagerRiferimenti dei runbook di automazione.

  6. Dopo aver completato le revisioni delle policy, scegli Next: Tags (Successivo: Tag).

  7. (Facoltativo) Aggiungere una o più coppie tag-valore chiave per organizzare, monitorare o controllare l'accesso per questa policy, quindi scegliere Next: Review (Successivo: Rivedi).

  8. Per Name (Nome), inserisci un nome che identifichi questa come la policy utilizzata dal ruolo di servizio Maintenance Windows che crei. Ad esempio: my-maintenance-window-role-policy.

  9. Scegli Create policy (Crea policy) e prendi nota del nome specificato per la policy. Vi farai riferimento nella procedura successiva, Attività 2: (facoltativa) creazione di un ruolo di servizio personalizzato per le finestre di manutenzione (console).

Attività 2: (facoltativa) creazione di un ruolo di servizio personalizzato per le finestre di manutenzione (console)

Utilizza la seguente procedura per creare un ruolo di servizio personalizzato per Maintenance Windows in modo che Systems Manager possa eseguire le attività Maintenance Windows per tuo conto. Collegherai la policy che hai creato nell'attività precedente al ruolo di servizio personalizzato che creerai.

Importante

In precedenza, la console di Systems Manager forniva la possibilità di scegliere il ruolo collegato al servizio IAM AWSServiceRoleForAmazonSSM gestito da AWS da utilizzare come ruolo di manutenzione per le attività. Non è più consigliato utilizzare questo ruolo e la relativa policy associata, AmazonSSMServiceRolePolicy, per le attività della finestra di manutenzione. Se stai ancora utilizzando questo ruolo per le attività della finestra di manutenzione, ti invitiamo a interromperne l'utilizzo. Invece, crea un ruolo IAM che consenta la comunicazione tra Systems Manager e altri Servizi AWS quando vengono eseguite le attività della finestra di manutenzione.

Per creare un ruolo di servizio personalizzato (console)

  1. Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, scegliere Roles (Ruoli) e quindi Create role (Crea ruolo).

  3. Per Select trusted entity (Seleziona un'entità attendibile), effettua le seguenti selezioni:

    1. Per Trusted entity type (Tipo di entità attendibile), scegli AWS service (Servizio)

    2. Per Use cases for other AWS services (Casi d'uso per altri servizi ), scegli Systems Manager.

    3. Scegli Systems Manager, come mostrato nell'immagine seguente.

      Schermata che illustra l'opzione Systems Manager selezionata come caso d'uso.

  4. Seleziona Successivo.

  5. Nella casella di ricerca, inserisci il nome della policy creata in Attività 1: creazione di una policy per il ruolo di servizio personalizzato per la finestra di manutenzione, seleziona la casella di controllo accanto al suo nome, quindi scegli Next (Successivo).

  6. In Role name (Nome ruolo), inserire un nome che identifichi questo ruolo come un ruolo Maintenance Windows. Ad esempio: my-maintenance-window-role.

  7. (Opzionale) Modificare la descrizione predefinita del ruolo per rispecchiarne lo scopo. Ad esempio: Performs maintenance window tasks on your behalf.

  8. (Facoltativo) Aggiungere una o più coppie tag-valore chiave per organizzare, monitorare o controllare l'accesso per questo ruolo, quindi scegli Next: Review (Successivo: Rivedi).

  9. Scegliere Create role (Crea ruolo). Il sistema visualizza di nuovo la pagina Roles (Ruoli).

  10. Scegliere il nome del ruolo appena creato.

  11. Scegli la scheda Trust relationships (Relazioni di attendibilità) e verificare che la policy seguente sia visualizzata nella casella Trusted entities (Entità attendibili).

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "ssm.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  12. Copia o annota il nome del ruolo e il valore ARN nell'area Summary (Riepilogo). Gli utenti nel tuo account specificano queste informazioni quando creano finestre di manutenzione.

Attività 3: configurazione delle autorizzazioni per gli utenti autorizzati a registrare le attività della finestra di manutenzione (console)

Quando registri un'attività con una finestra di manutenzione, devi specificare un ruolo di servizio personalizzato o un ruolo collegato al servizio di Systems Manager per eseguire le operazioni dell'attività effettiva. È il ruolo che assume il servizio durante l'esecuzione di attività per conto dell'utente. In precedenza, per registrare l'attività stessa, assegna la policy PassRole di IAM a un'entità IAM (come un utente o un gruppo). Ciò consente all'entità IAM (utente o gruppo) di specificare, nell'ambito della registrazione di tali attività nella finestra di manutenzione, il ruolo da utilizzare durante l'esecuzione delle attività. Per informazioni, consulta Concessione di autorizzazioni utente per il passaggio di un ruolo a Servizio AWS nella Guida per l'utente IAM.

Configurazione delle autorizzazioni per gli utenti autorizzati a registrare le attività della finestra di manutenzione

Se a un'entità IAM (utente, ruolo o gruppo) vengono assegnate le autorizzazioni di amministratore, l'utente o il ruolo ha accesso alle funzionalità di Finestre di manutenzione. Per le entità IAM senza autorizzazioni di amministratore, un amministratore deve concedere le seguenti autorizzazioni all'entità IAM. Queste sono le autorizzazioni minime necessarie per registrare le attività con una finestra di manutenzione:

  • La policy gestita AmazonSSMFullAccess o una policy che fornisce autorizzazioni analoghe.

  • Le seguenti autorizzazioni iam:PassRole e iam:ListRoles.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/my-maintenance-window-role"
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::account-id:role/"
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::account-id:role/aws-service-role/ssm.amazonaws.com/"
        }
    ]
}

    my-maintenance-window-role rappresenta il nome del ruolo della finestra di manutenzione personalizzata creato in precedenza.

    account-id rappresenta l'ID del tuo Account AWS. L'aggiunta di questa autorizzazione per la risorsa arn:aws:iam::account-id:role/ consente a un utente di visualizzare e scegliere tra i ruoli del cliente nella console quando crea un'attività della finestra di manutenzione. L'aggiunta di questa autorizzazione per arn:aws:iam::account-id:role/aws-service-role/ssm.amazonaws.com/ consente a un utente di scegliere il ruolo collegato ai servizi di Systems Manager nella console quando crea un'attività della finestra di manutenzione.

    Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:

    • Utenti e gruppi in AWS IAM Identity Center:

      Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center.

    • Utenti gestiti in IAM tramite un provider di identità:

      Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Creating a role for a third-party identity provider (federation) (Creazione di un ruolo per un provider di identità di terze parti [federazione]) nella Guida per l'utente di IAM.

    • Utenti IAM:

      • Crea un ruolo che l'utente possa assumere. Per istruzioni, consulta la pagina Creating a role for an IAM user (Creazione di un ruolo per un utente IAM) nella Guida per l'utente di IAM.

      • (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina Aggiunta di autorizzazioni a un utente (console) nella Guida per l'utente di IAM.

Configurare le autorizzazioni per i gruppi autorizzati a registrare le attività della finestra di manutenzione (console)

  1. Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione selezionare Gruppi di utenti.

  3. Nell'elenco dei gruppi, selezionare il nome del gruppo desiderato a cui assegnare l'autorizzazione iam:PassRole.

  4. Nella scheda Permissions (Autorizzazioni), scegliere Add permissions, Create inline policy (Aggiungi autorizzazioni, Crea policy in linea), quindi selezionare la scheda JSON.

  5. Sostituisci il contenuto di default della casella con quanto segue.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/my-maintenance-window-role"
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::account-id:role/"
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::account-id:role/aws-service-role/ssm.amazonaws.com/"
        }
    ]
}

    my-maintenance-window-role rappresenta il nome del ruolo della finestra di manutenzione personalizzata creato in precedenza.

    account-id rappresenta l'ID del tuo Account AWS. L'aggiunta di questa autorizzazione per la risorsa arn:aws:iam::account-id:role/ consente a un utente di visualizzare e scegliere tra i ruoli del cliente nella console quando crea un'attività della finestra di manutenzione. L'aggiunta di questa autorizzazione per arn:aws:iam::account-id:role/aws-service-role/ssm.amazonaws.com/ consente a un utente di scegliere il ruolo collegato ai servizi di Systems Manager nella console quando crea un'attività della finestra di manutenzione.

  6. Scegli Review policy (Esamina policy).

  7. Alla pagina Esamina policy, inserire un nome nel campo Nome per identificare questa policy PassRole, ad esempio my-group-iam-passrole-policy, quindi scegliere Crea policy.

Mostra piùMostra meno

Attività 4: configurazione delle autorizzazioni per gli utenti non autorizzati a registrare le attività della finestra di manutenzione

A seconda del fatto che l'autorizzazione ssm:RegisterTaskWithMaintenanceWindow non venga assegnata a uno specifico utente o a un gruppo, utilizzare una delle procedure seguenti per impedire agli utenti di registrare attività con una finestra di manutenzione.

Configurazione delle autorizzazioni per gli utenti non autorizzati a registrare le attività della finestra di manutenzione

  • Un amministratore deve aggiungere le seguenti restrizioni all'entità IAM.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ssm:RegisterTaskWithMaintenanceWindow",
            "Resource": "*"
        }
    ]
}
Mostra piùMostra meno
Configurare le autorizzazioni per i gruppi non autorizzati a registrare le attività della finestra di manutenzione (console)

  1. Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione selezionare Gruppi di utenti.

  3. Nell'elenco dei gruppi, selezionare il nome del gruppo a cui si desidera rifiutare l'autorizzazione ssm:RegisterTaskWithMaintenanceWindow.

  4. Nella scheda Permissions (Autorizzazioni), scegliere Add permissions, Create inline policy (Aggiungi autorizzazioni, Crea policy in linea).

  5. Scegliere la scheda JSON, quindi sostituire i contenuti di default della casella con quanto segue.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ssm:RegisterTaskWithMaintenanceWindow",
            "Resource": "*"
        }
    ]
}

  6. Scegli Review policy (Esamina policy).

  7. Alla pagina Esamina policy, per Nome, inserire un nome per identificare questa policy, ad esempio my-groups-deny-mw-tasks-policy, quindi scegliere Crea policy.

Mostra piùMostra meno