Método 1: usar o AWS CloudFormation para configurar uma função de serviço para o Automation - AWS Systems Manager
Criar a função de serviço com o AWS CloudFormationCopiar informações de função para a automação

Método 1: usar o AWS CloudFormation para configurar uma função de serviço para o Automation

Você pode criar uma função de serviço para o Automation, um recurso do AWS Systems Manager, com base em um modelo do AWS CloudFormation. Depois de criar a função de serviço, você poderá especificar a função do serviço nos runbooks, usando o parâmetro AutomationAssumeRole.

Criar a função de serviço com o AWS CloudFormation

Use o procedimento a seguir para criar as funções do AWS Identity and Access Management (IAM) necessárias para o Systems Manager Automation, usando o AWS CloudFormation.

Para criar as funções do IAM necessárias

  1. Baixe e descompacte o arquivo AWS-SystemsManager-AutomationServiceRole.zip. Este arquivo inclui o arquivo de modelo do AWS-SystemsManager-AutomationServiceRole.yaml AWS CloudFormation.

  2. Abra o console do AWS CloudFormation em https://console.aws.amazon.com/cloudformation.

  3. Selecione Create Stack (Criar pilha).

  4. Na seção Specify template (Especificar modelo) escolha Upload a template file (Fazer upload de um arquivo de modelo).

  5. Escolha Browse (Procurar) e, depois, escolha o arquivo de modelo AWS-SystemsManager-AutomationServiceRole.yaml do AWS CloudFormation.

  6. Escolha Próximo.

  7. Na página Specify stack details (Especificar detalhes da tarefa), no campo Stack name (Nome da pilha), insira um nome.

  8. Na página Configure stack options (Configurar opções de pilha) não é necessário fazer nenhuma seleção. Escolha Próximo.

  9. Na página Review, role para baixo e escolha a opção I acknowledge that AWS CloudFormation might create IAM resources.

  10. Escolha Criar.

O CloudFormation mostra o status CREATE_IN_PROGRESS por cerca de três minutos. O status mudará para CREATE_COMPLETE depois que a pilha for criada e suas funções estiverem prontas para uso.

Importante

Se você executar um fluxo de trabalho de automação que chama outros serviços usando uma função de serviço do AWS Identity and Access Management (IAM), esteja ciente de que esta função deve ser configurada com permissão para chamar esses serviços. Esse requisito aplica-se a todos os runbooks do Automation da AWS (runbooks da AWS-*), como os runbooks AWS-ConfigureS3BucketLogging, AWS-CreateDynamoDBBackup e AWS-RestartEC2Instance, entre outros. Esse requisito também se aplica a todos os runbooks personalizados do Automation criados que invoquem outros Serviços da AWS, usando ações que chamam outros serviços. Por exemplo, se você usar as ações aws:executeAwsApi, aws:createStack ou aws:copyImage, configure a função de serviço com permissão para invocar esses serviços. É possível habilitar permissões para outros Serviços da AWS, adicionando uma política em linha do IAM à função. Para ter mais informações, consulte (Opcional) Adicione uma política em linha ou uma política gerenciada pelo cliente para invocar outros Serviços da AWS.

Copiar informações de função para a automação

Use o procedimento a seguir para copiar as informações sobre a função de serviço de Automação por meio do console do AWS CloudFormation. É necessário especificar essas funções ao usar um runbook.

nota

Você não precisará copiar as informações da função usando esse procedimento, se executar os runbooks AWS-UpdateLinuxAmi ou AWS-UpdateWindowsAmi. Esses runbooks já possuem as funções necessárias especificadas como valores padrão. As funções especificadas nesses runbooks usam as políticas gerenciadas do IAM.

Para copiar nomes de funções

  1. Abra o console do AWS CloudFormation em https://console.aws.amazon.com/cloudformation.

  2. Selecione o Stack name (Nome da pilha) do Automation que você criou no procedimento anterior.

  3. Escolha a guia Resources (Recursos).

  4. Escolha o link Physical ID para AutomationServiceRole. O console do IAM é aberto em um resumo da função de serviço do Automation.

  5. Copie o nome do recurso da Amazon (ARN) ao lado de Role ARN (ARN da função). O ARN é semelhante ao seguinte: arn:aws:iam::12345678:role/AutomationServiceRole

  6. Cole o ARN em um arquivo de texto para uso posterior.

Você concluiu a configuração da função de serviço para Automação. Agora você pode usar o ARN da função de serviço do Automation em seus runbooks.