Verificar o acesso do usuário aos runbooks Configurar o acesso a uma função de serviço (função assumida) para automações

Configurar a automação

Para configurar o Automation, um recurso do AWS Systems Manager, é necessário verificar o acesso do usuário ao serviço do Automation, e configurar as funções de forma que o serviço possa executar ações nos recursos. Também recomendamos que você opte pelo modo de simultaneidade adaptativo em suas preferências do Automation. A simultaneidade adaptativa dimensiona automaticamente sua cota de automação para atender às suas necessidades. Para obter mais informações, consulte Permitir que o Automation se adapte às suas necessidades de simultaneidade.

Para garantir o acesso adequado ao Automation AWS Systems Manager, revise os seguintes requisitos de função de serviço e usuário.

Verificar o acesso do usuário aos runbooks

Verifique se você tem permissão para usar runbooks. Se seu usuário, grupo ou perfil tiver permissões de administrador atribuídas, você terá acesso ao Systems Manager Automation. Se você não tiver permissões de administrador, um administrador deverá conceder as permissões ao atribuir a política gerenciada AmazonSSMFullAccess ou uma política que forneça permissões comparáveis ao seu usuário, grupo ou perfil.

Importante

A política do IAM AmazonSSMFullAccess concede permissões para ações do Systems Manager. No entanto, alguns runbooks exigem permissões para outros serviços, como o documento AWS-ReleaseElasticIP, que requer permissões do IAM para o ec2:ReleaseAddress. Portanto, é necessário analisar as ações executadas em um runbook para garantir que seu usuário, grupo ou perfil tenha as permissões necessárias atribuídas para executar as ações inclusas no runbook.

Configurar o acesso a uma função de serviço (função assumida) para automações

As automações podem ser iniciadas no contexto de uma função de serviço (ou função assumida). Isso permite que o serviço execute ações em seu nome. Se você não especificar uma função a ser assumida, o Automation usará o contexto do usuário que invocou a execução.

No entanto, as seguintes situações ainda exigem que você especifique uma função de serviço para o Automation:

Quando você quer restringir as permissões de um usuário em um recurso, mas deseja que esse usuário execute uma automação que exija privilégios elevados. Nesse cenário, você poderá criar uma função de serviço com permissões elevadas e permitir que o usuário execute a automação.
Quando você cria uma associação do Systems Manager State Manager que executa um runbook.
Ao ter operações que espera executar por mais de 12 horas.
Quando você estiver executando um runbook que não pertence à Amazon, e que usa a ação aws:executeScript para chamar uma operação de API da AWS ou para agir em um recurso da AWS. Para obter mais informações, consulte Permissões para usar runbooks.

Se você precisar criar uma função de serviço para o Automation, poderá usar um dos métodos a seguir.

Tópicos

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Automation

Método 1: usar o AWS CloudFormation para configurar uma função de serviço para o Automation