Fase 2: creazione di un ruolo del servizio IAM per un ambiente ibrido. - AWS Systems Manager

Fase 2: creazione di un ruolo del servizio IAM per un ambiente ibrido.

Server e macchine virtuali (VM) in un ambiente ibrido richiedono un ruolo AWS Identity and Access Management (IAM) per comunicare con il servizio AWS Systems Manager. Il ruolo concedeAWS Security Token Service(AWS STS)AssumeRoleattendibile al servizio Systems Manager. Il ruolo di servizio per un ambiente ibrido deve essere creato una sola volta per ogni Account AWS. Tuttavia, è possibile scegliere di creare più ruoli di servizio per diverse attivazioni ibride se le macchine dell'ambiente ibrido richiedono autorizzazioni diverse.

Le procedure seguenti descrivono come creare il ruolo di servizio necessario utilizzando la console di Systems Manager o lo strumento a riga di comando preferito.

Creare un ruolo di servizio IAM (console)

La seguente procedura consente di creare un ruolo di servizio un'attivazione ibrida. Si prega di notare che questa procedura utilizza la policy AmazonSSMManagedInstanceCore per la funzionalità di base di Systems Manager. A seconda del caso d'uso, potrebbe essere necessario aggiungere ulteriori policy al ruolo di servizio per le macchine On-Premise per poter accedere ad altre funzionalità o a servizi AWS. Ad esempio, senza accesso ai bucket Amazon Simple Storage Service (Amazon S3) richiesti gestiti AWS, le operazioni di patch Patch Manager non riescono.

Creazione di un ruolo per un servizio (console)

  1. Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione selezionare Roles (Ruoli) e quindi Create role (Crea ruolo).

  3. Contrassegnare le seguenti selezioni:

    1. Area Select type of trusted entity (Seleziona tipo di identità attendibile): AWS service (Servizio)

    2. Area Choose the service that will use this role (Scegliere il servizio che utilizzerà questo ruolo): Systems Manager

  4. Seleziona Next (Successivo).

  5. Nell'elenco delle policy, selezionare la casella di controllo accanto a AmazonSSMManagedInstanceCore e selezionare Next (Avanti).

  6. In Nome ruolo, inserisci un nome che identifichi questo ruolo come un ruolo di servizio d'attivazione ibrido. Ad esempio: my-hybrid-service-role.

  7. (Facoltativo) Aggiungere una o più coppie tag-valore chiave per organizzare, monitorare o controllare l'accesso per questo ruolo, quindi scegliere Next: Review (Successivo: Rivedi).

  8. (Opzionale) Modificare la descrizione predefinita del ruolo per rispecchiarne lo scopo. Ad esempio: Provides permissions for on-premises machines.

  9. Scegliere Create role (Crea ruolo). Il sistema visualizza di nuovo la pagina Roles (Ruoli).

Creare un ruolo di servizio IAM (riga di comando)

La seguente procedura consente di creare un ruolo di servizio un'attivazione ibrida. Si prega di notare che questa procedura utilizza funzionalità di base di System Manager policy AmazonSSMManagedInstanceCore. A seconda del caso d'uso, potrebbe essere necessario aggiungere ulteriori policy al ruolo di servizio per le macchine On-Premise per poter accedere ad altre funzionalità o a servizi AWS.

Requisito delle policy dei bucket S3

Se uno dei seguenti casi è true, è necessario creare una policy di autorizzazione IAM personalizzata per i Amazon Simple Storage Service (Amazon S3) prima di completare questa procedura:

  • Caso 1: stai utilizzando un endpoint VPC per connettere privatamente il tuo VPC ai servizi AWS supportati e ai servizi endpoint VPC basati su AWS PrivateLink.

  • Caso 2: prevedi di utilizzare un bucket Amazon S3 che hai creato durante le operazioni Systems Manager, ad esempio per archiviare l'output per i comandi Run Command o le sessioni Session Manager in un bucket Amazon S3. Prima di procedere, segui i passaggi descritti in Create a custom S3 bucket policy for an instance profileCreare una policy del bucket S3 personalizzata per un profilo dell'istanza. Le informazioni sulle policy dei bucket S3 fornite in quell'argomento sono valide anche per il ruolo di servizio.

AWS CLI

Per creare un ruolo del servizio IAM per un ambiente ibrido (AWS CLI)

  1. Se non lo hai ancora fatto, installa e configura AWS Command Line Interface (AWS CLI).

    Per informazioni, consulta .Installazione o aggiornamentoAWSStrumenti a riga di comando.

  2. Creare un file di testo con un nome, ad esempio SSMService-Trust.json con la seguente policy di attendibilità. Salvare il file con l'estensione .json. Assicurati di specificare il tuo Account AWS e la Regione AWS nell'ARN dove hai creato l'attivazione ibrida.

    { "Version":"2012-10-17", "Statement":[ { "Sid":"", "Effect":"Allow", "Principal":{ "Service":"ssm.amazonaws.com" }, "Action":"sts:AssumeRole", "Condition":{ "StringEquals":{ "aws:SourceAccount":"123456789012" }, "ArnEquals":{ "aws:SourceArn":"arn:aws:ssm:us-east-2:123456789012:*" } } } ] }
  3. Apertura dellaAWS CLIE nella directory in cui è stato creato il file JSON, eseguire l'create-rolePer creare il ruolo del servizio. Questo esempio crea un ruolo denominato SSMServiceRole. È possibile scegliere un nome diverso.

    Linux & macOSWindows
    Linux & macOS
    aws iam create-role \ --role-name SSMServiceRole \ --assume-role-policy-document file://SSMService-Trust.json
    Windows
    aws iam create-role ^ --role-name SSMServiceRole ^ --assume-role-policy-document file://SSMService-Trust.json
  4. Usare attach-role-policy come segue per abilitare il ruolo del servizio appena creato per la creazione di un token di sessione. Il token della sessione fornisce all'istanza gestita l'autorizzazione di eseguire comandi utilizzando Systems Manager.

    Nota

    Le policy aggiunte per un profilo del servizio per le istanze gestite in un ambiente ibrido sono le stesse policy utilizzate per la creazione di un profilo per le istanze Amazon Elastic Compute Cloud (Amazon EC2). Per ulteriori informazioni suAWSutilizzati nei seguenti comandi, consulta.Creare un profilo dell'istanza IAM per Systems Manager.

    (Obbligatorio) Eseguire il comando seguente per abilitare un'istanza gestita all'utilizzo della funzionalità principale del servizio AWS Systems Manager.

    Linux & macOSWindows
    Linux & macOS
    aws iam attach-role-policy \ --role-name SSMServiceRole \ --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
    Windows
    aws iam attach-role-policy ^ --role-name SSMServiceRole ^ --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

    Se è stata creata una policy di bucket S3 personalizzata per il ruolo del servizio, eseguire il comando seguente per abilitare l’agente AWS Systems Manager (SSM Agent) per l'accesso al bucket specificato nella policy. Sostituire account-id e my-bucket-policy-name con il proprio ID account Account AWS e il nome del bucket.

    Linux & macOSWindows
    Linux & macOS
    aws iam attach-role-policy \ --role-name SSMServiceRole \ --policy-arn arn:aws:iam::account-id:policy/my-bucket-policy-name
    Windows
    aws iam attach-role-policy ^ --role-name SSMServiceRole ^ --policy-arn arn:aws:iam::account-id:policy/my-bucket-policy-name

    (Facoltativo) Eseguire il comando seguente per consentire a SSM Agent di accedere a AWS Directory Service per conto dell'utente per le richieste di aggiunta al dominio da parte dell'istanza gestita. Il profilo dell'istanza necessita di questa policy solo se le istanze vengono aggiunte a una directory Microsoft AD.

    Linux & macOSWindows
    Linux & macOS
    aws iam attach-role-policy \ --role-name SSMServiceRole \ --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
    Windows
    aws iam attach-role-policy ^ --role-name SSMServiceRole ^ --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess

    (Facoltativo) Eseguire il comando seguente per consentire l'esecuzione di Cloudwatch sulle istanze gestite. Questo comando consente di leggere e scrivere le informazioni su un'istanza in Cloudwatch. Il profilo del servizio necessita di questa policy solo se si utilizzano servizi come Amazon EventBridge o Amazon CloudWatch Logs.

    aws iam attach-role-policy \ --role-name SSMServiceRole \ --policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
Tools for PowerShell

Per creare un ruolo del servizio IAM per un ambiente ibrido (AWS Tools for Windows PowerShell)

  1. Se non lo hai ancora fatto, installa e configura AWS Tools for PowerShell.

    Per informazioni, consulta .Installazione o aggiornamentoAWSStrumenti a riga di comando.

  2. Creare un file di testo con un nome, ad esempio SSMService-Trust.json con la seguente policy di attendibilità. Salvare il file con l'estensione .json. Assicurati di specificare il tuo Account AWS e la Regione AWS nell'ARN dove hai creato l'attivazione ibrida.

    { "Version":"2012-10-17", "Statement":[ { "Sid":"", "Effect":"Allow", "Principal":{ "Service":"ssm.amazonaws.com" }, "Action":"sts:AssumeRole", "Condition":{ "StringEquals":{ "aws:SourceAccount":"123456789012" }, "ArnEquals":{ "aws:SourceArn":"arn:aws:ssm:us-east-2:123456789012:*" } } } ] }
  3. Aprire PowerShell in modalità amministrativa e nella directory in cui è stato creato il file JSON eseguireNew-IAMRolePer creare un ruolo di servizio. Questo esempio crea un ruolo denominato SSMServiceRole. È possibile scegliere un nome diverso.

    New-IAMRole ` -RoleName SSMServiceRole ` -AssumeRolePolicyDocument (Get-Content -raw SSMService-Trust.json)
  4. Usare Register-IAMRolePolicy come segue per abilitare il ruolo del servizio creato per la creazione di un token di sessione. Il token della sessione fornisce all'istanza gestita l'autorizzazione di eseguire comandi utilizzando Systems Manager.

    Nota

    Le policy aggiunte per un profilo del servizio per le istanze gestite in un ambiente ibrido sono le stesse policy utilizzate per la creazione di un profilo per le istanze EC2. Per ulteriori informazioni suAWSutilizzati nei seguenti comandi, consulta.Creare un profilo dell'istanza IAM per Systems Manager.

    (Obbligatorio) Eseguire il comando seguente per abilitare un'istanza gestita all'utilizzo della funzionalità principale del servizio AWS Systems Manager.

    Register-IAMRolePolicy ` -RoleName SSMServiceRole ` -PolicyArn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

    Se è stata creata una policy di bucket S3 personalizzata per il ruolo del servizio, eseguire il comando seguente per abilitare SSM Agent per l'accesso al bucket specificato nella policy. Sostituire account-id e my-bucket-policy-name con il proprio ID account Account AWS e il nome del bucket.

    Register-IAMRolePolicy ` -RoleName SSMServiceRole ` -PolicyArn arn:aws:iam::account-id:policy/my-bucket-policy-name

    (Facoltativo) Eseguire il comando seguente per consentire a SSM Agent di accedere a AWS Directory Service per conto dell'utente per le richieste di aggiunta al dominio da parte dell'istanza gestita. Il profilo dell'istanza necessita di questa policy solo se le istanze vengono aggiunte a una directory Microsoft AD.

    Register-IAMRolePolicy ` -RoleName SSMServiceRole ` -PolicyArn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess

    (Facoltativo) Eseguire il comando seguente per consentire l'esecuzione di Cloudwatch sulle istanze gestite. Questo comando consente di leggere e scrivere le informazioni su un'istanza in Cloudwatch. Il profilo del servizio necessita di questa policy solo se si utilizzano servizi come Amazon EventBridge o Amazon CloudWatch Logs.

    Register-IAMRolePolicy ` -RoleName SSMServiceRole ` -PolicyArn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy

Continuare su Fase 3: creazione di un'attivazione di un'istanza gestita per un ambiente ibrido.