Executar automações em várias regiões e contas da Regiões da AWS - AWS Systems Manager
Configurar permissões da conta de gerenciamento para execução da automação de várias regiões e contasExecute uma automação em várias regiões e contas (console)Executar uma automação em várias regiões e contas (linha de comando)

Executar automações em várias regiões e contas da Regiões da AWS

Você pode executar automações do AWS Systems Manager em várias Regiões da AWS e Contas da AWS ou em unidades organizacionais (UOs) do AWS Organizations em uma conta central. O Automation é um recurso do AWS Systems Manager. Executar automações em várias regiões e contas ou UOs reduz o tempo necessário para administrar os recursos da AWS, ao mesmo tempo em que melhora a segurança do ambiente de computação.

Por exemplo, você pode fazer o seguinte usando runbooks de automação:

  • Implementar atualizações de patches e segurança de maneira centralizada.

  • Corrigir desvios de conformidade em configurações da VPC ou em políticas de bucket do Amazon S3.

  • Gerenciar recursos, como instâncias do EC2 do Amazon Elastic Compute Cloud (Amazon EC2), em grande escala.

O diagrama a seguir mostra um exemplo de um usuário que está executando o runbook AWS-RestartEC2Instances em várias regiões e contas usando uma conta central. A automação localiza as instâncias usando as tags especificadas nas regiões e contas de destino.

nota

Quando você executa uma automação em várias regiões e contas, você define o destino de recursos usando tags ou o nome de um grupo de recursos da AWS. O grupo de recursos deve existir em cada conta e região de destino. O nome do grupo de recursos deve ser o mesmo em cada conta e região de destino. A automação não é executada em recursos que não têm a tag especificada ou que não estejam incluídos no grupo de recursos especificado.

Ilustração mostrando a execução do Systems Manager Automation em várias regiões e contas.
Escolher uma conta central para o Automation

Se você quiser executar automações em UOs, a conta central deve ter permissões para listar todas as contas nas UOs. Isso só é possível usando uma conta de administrador delegado ou a conta de gerenciamento da organização. Recomendamos seguir as práticas recomendadas do AWS Organizations e usar uma conta de administrador delegado. Para obter mais informações sobre as práticas recomendadas do AWS Organizations, consulte Práticas recomendadas para a conta de gerenciamento no Guia do usuário do AWS Organizations. Para criar uma conta de administrador delegado para o Systems Manager, você pode usar o comando register-delegated-administrator com a AWS CLI, conforme exibido no exemplo a seguir.

aws organizations register-delegated-administrator \
    --account-id delegated admin account ID \
    --service-principal ssm.amazonaws.com

Se você quiser executar automações em várias contas que não sejam gerenciadas pelo AWS Organizations, recomendamos a criação de uma conta dedicada para o gerenciamento de automação. A execução de todas as automações entre contas usando uma conta dedicada simplifica o gerenciamento de permissões do IAM, os esforços de solução de problemas e cria uma camada de separação entre operações e administração. Essa abordagem também é recomendada se você usar o AWS Organizations, mas só quiser segmentar contas individuais e não UOs.

Funcionamento da execução de automações

Executar automações em várias regiões e contas ou UOs ocorre da seguinte forma:

  1. Verifique se todos os recursos nos quais você quer executar a automação, em todas as regiões, contas ou UOs, usam tags idênticas. Se não usarem, você poderá adicioná-las a um grupo de recursos da AWS e direcionar esse grupo. Para obter mais informações, consulte O que são grupos de recursos? no Guia do usuário de AWS Resource Groups e tags.

  2. Acesse a conta que você deseja configurar como a conta central do Automation.

  3. Siga o procedimento Configurar permissões da conta de gerenciamento para execução da automação de várias regiões e contas neste tópico para criar os seguintes perfis do IAM:

    • AWS-SystemsManager-AutomationAdministrationRole: essa função permite que o usuário execute automação em várias contas e UOs.

    • AWS-SystemsManager-AutomationExecutionRole: essa função permite que o usuário execute automação nas contas de destino.

  4. Escolha o runbook, as regiões e as contas ou OUs em que você deseja executar a automação.

    nota

    As automações não são executadas recursivamente por meio de UOs. Certifique-se de que a UO de destino contenha as contas desejadas. Se você escolher um runbook personalizado, ele deverá ser compartilhado com todas as contas de destino. Para obter informações sobre como compartilhar runbooks, consulte Compartilhar documentos do Systems Manager. Para obter informações sobre como usar runbooks compartilhados, consulte Usar documentos compartilhados do .

  5. Execute a automação.

    nota

    Ao executar automações em várias regiões, contas ou UOs, a automação executada na conta principal inicia automações filho em cada uma das contas de destino. A automação na conta principal contém etapas de aws:executeAutomation para cada uma das contas de destino. A automação falhará se você iniciar uma automação com base em novas regiões lançadas após 20 de março de 2019 e direcionar para uma região que esteja habilitada por padrão. A automação será executada com êxito se você iniciar uma automação com base em uma região que esteja habilitada por padrão e direcionar para uma região que você tenha ativado.

  6. Use as operações de API GetAutomationExecution, DescribeAutomationStepExecutions e DescribeAutomationExecutions no console do AWS Systems Manager ou na AWS CLI para monitorar o progresso da automação. O resultado das etapas para a automação em sua conta principal será o AutomationExecutionIddas automações filho. Para exibir a saída das automações filho criadas em suas contas de destino, especifique a conta, região e AutomationExecutionId apropriadas na sua solicitação.

Configurar permissões da conta de gerenciamento para execução da automação de várias regiões e contas

Use o procedimento a seguir para criar as funções do IAM necessárias para a automação do Systems Manager Automation em várias regiões e várias contas, usando o AWS CloudFormation. Esse procedimento descreve como criar a função AWS-SystemsManager-AutomationAdministrationRole. Você só precisa criar essa função na conta de gerenciamento do Automation. Esse procedimento também descreve como criar a função AWS-SystemsManager-AutomationExecutionRole. Você deve criar essa função em todas as contas que deseja direcionar para executar automações em várias regiões e contas. Recomendamos usar o AWS CloudFormation StackSets para criar a função AWS-SystemsManager-AutomationExecutionRole nas contas que você quiser direcionar para executar automações em várias regiões e contas.

Criar as funções de administração do IAM necessárias para automações em várias regiões e várias contas usando o AWS CloudFormation

  1. Faça download e descompacte AWS-SystemsManager-AutomationAdministrationRole.zip. Ou, se suas contas forem gerenciadas pelo AWS Organizations, AWS-SystemsManager-AutomationAdministrationRole (org).zip. Este arquivo contém o arquivo de modelo do AWS-SystemsManager-AutomationAdministrationRole.yaml AWS CloudFormation.

  2. Abra o console do AWS CloudFormation em https://console.aws.amazon.com/cloudformation.

  3. Selecione Criar pilha.

  4. Na seção Specify template (Especificar modelo) escolha Upload a template (Fazer upload de um modelo).

  5. Selecione Choose file (Escolha o arquivo) e, depois, escolha o modelo de arquivo do AWS-SystemsManager-AutomationAdministrationRole.yaml AWS CloudFormation.

  6. Escolha Próximo.

  7. Na página Specify stack details (Especificar detalhes da tarefa), no campo Stack name (Nome da pilha), insira um nome.

  8. Escolha Próximo.

  9. Na página Configure stack options (Configurar opções de pilha), insira valores para as opções que você quiser usar. Escolha Próximo.

  10. Na página Review (Revisão) role para baixo e escolha a opção I acknowledge that AWS CloudFormation might create IAM resources with custom names (Estou ciente de que o poderá criar recursos do IAM com nomes personalizados).

  11. Selecione Criar pilha.

O AWS CloudFormation mostra o status CREATE_IN_PROGRESS por cerca de três minutos. O status mudará para CREATE_COMPLETE.

É necessário repetir esse procedimento em todas as contas que você quiser direcionar para executar automações em várias regiões e contas.

Criar as funções de automação do IAM necessárias para automações em várias regiões e várias contas usando o AWS CloudFormation

  1. Faça download do AWS-SystemsManager-AutomationExecutionRole.zip. Ou, se suas contas forem gerenciadas pelo AWS Organizations, AWS-SystemsManager-AutomationExecutionRole (org).zip. Este arquivo contém o arquivo de modelo do AWS-SystemsManager-AutomationExecutionRole.yaml AWS CloudFormation.

  2. Abra o console do AWS CloudFormation em https://console.aws.amazon.com/cloudformation.

  3. Selecione Criar pilha.

  4. Na seção Specify template (Especificar modelo) escolha Upload a template (Fazer upload de um modelo).

  5. Selecione Choose file (Escolha o arquivo) e, depois, escolha o modelo de arquivo do AWS-SystemsManager-AutomationExecutionRole.yaml AWS CloudFormation.

  6. Escolha Próximo.

  7. Na página Specify stack details (Especificar detalhes da tarefa), no campo Stack name (Nome da pilha), insira um nome.

  8. Na seção Parameters (Parâmetros), no campo AdminAccountId, insira o ID da conta central do Automation.

  9. Se você estiver configurando essa função para um ambiente AWS Organizations, haverá outro campo chamado OrganizationId na seção. Insira o ID da sua organização da AWS.

  10. Escolha Próximo.

  11. Na página Configure stack options (Configurar opções de pilha), insira valores para as opções que você quiser usar. Escolha Próximo.

  12. Na página Review (Revisão) role para baixo e escolha a opção I acknowledge that AWS CloudFormation might create IAM resources with custom names (Estou ciente de que o poderá criar recursos do IAM com nomes personalizados).

  13. Selecione Criar pilha.

O AWS CloudFormation mostra o status CREATE_IN_PROGRESS por cerca de três minutos. O status mudará para CREATE_COMPLETE.

Execute uma automação em várias regiões e contas (console)

O procedimento a seguir descreve como usar o console do Systems Manager para executar uma automação em várias regiões e contas da conta de gerenciamento do Automation.

Antes de começar

Antes de concluir o seguinte procedimento, anote as seguintes informações:

  • O usuário ou o perfil usado para executar uma automação em diversas regiões ou diversas contas deve ter a permissão iam:PassRole para o perfil AWS-SystemsManager-AutomationAdministrationRole.

  • IDs de contas da Conta da AWS ou UOs nos quais você deseja executar a automação.

  • Regiões suportadas pelo Systems Manager onde você deseja executar a automação.

  • A chave e o valor da tag, ou o nome do grupo de recursos, nos quais você deseja executar a automação.

Para executar uma automação em várias regiões e contas

  1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, selecione Automation e Execute automation (Executar automação).

  3. Na lista Automation document (Documento do Automation), escolha um runbook. Escolha uma ou mais opções no painel Document categories (Categorias de documentos) para filtrar documentos SSM de acordo com sua finalidade. Para visualizar um runbook que você tenha, escolha a guia Owned by me (De minha propriedade). Para visualizar um runbook compartilhado com sua conta, escolha a guia Shared with me (Compartilhado comigo). Para visualizar todos os runbooks, escolha a guia All documents (Todos os documentos).

    nota

    Você pode visualizar informações sobre um runbook, selecionando o nome dele.

  4. Na seção Document details (Detalhes do documento), verifique se Document version (Versão do documento) está definida como a versão que você quer executar. O sistema inclui as seguintes opções de versão:

    • Versão padrão no runtime: escolha essa opção se o runbook do Automation for atualizado periodicamente e uma nova versão padrão for atribuída.

    • Versão mais recente no runtime: escolha essa opção se o runbook do Automation for atualizado periodicamente e se você quiser executar a versão mais recente.

    • 1 (padrão): escolha esta opção para executar a primeira versão do documento, que é a versão padrão.

  5. Escolha Próximo.

  6. Na página Execute automation document (Executar documento de automação), escolha Multi-account and Region (Várias contas e região).

  7. Na seção Target accounts and Regions (Regiões e contas de destino), use o campo Accounts and organizational (OUs) (Contas e unidades organizacionais, UOs) para especificar as diferentes Contas da AWS ou unidades organizacionais (UOs) da AWS em que você deseja executar a automação. Separe várias contas ou UOs com uma vírgula.

  8. Use a lista de Regiões da AWS para escolher uma ou mais regiões onde você deseja executar a automação.

  9. Use as opções Multi-Region and account rate control (Controle da taxa de várias contas e regiões) para restringir a execução da automação para um número limitado de contas em execução em um número limitado de regiões. Essas opções não restringem o número de recursos da AWS que podem executar as automações.

    1. Na seção Location (account-Region pair) concurrency (Simultaneidade da localização - par conta/região), escolha uma opção para restringir o número de automações que podem ser executadas em várias contas e regiões ao mesmo tempo. Por exemplo, se você optar por executar uma automação em cinco (5) contas da Contas da AWS que estiverem localizadas em quatro (4) Regiões da AWS, o Systems Manager executará as automações em um total de 20 pares de conta/região. Você pode usar essa opção para especificar um número absoluto, como 2, para que a automação seja executada simultaneamente em apenas dois pares de contas ou regiões. Outra opção é especificar uma porcentagem dos pares conta/região que podem ser executados ao mesmo tempo. Por exemplo, com 20 pares de conta/região, se você especificar 20%, a automação será executada simultaneamente em um máximo de cinco (5) pares de conta/região.

      • Escolha targets (destinos) para inserir um número absoluto de pares de conta/região que podem executar a automação simultaneamente.

      • Escolha percent (por cento) para inserir uma porcentagem do número total de pares de contas/regiões que podem executar a automação simultaneamente.

    2. Na seção Error threshold (Limite de erro), escolha uma opção:

      • Escolha errors (erros) para inserir um número absoluto de erros permitidos antes que o Automation pare de enviar a automação para outros recursos.

      • Escolha percent (por cento) para inserir uma porcentagem de erros permitidos antes que o Automation deixe de enviar a automação para outros recursos.

  10. Na seção Targets (Destinos), escolha como você quer definir os destinos dos recursos da AWS em que você deseja executar o Automation. Essas opções são obrigatórias.

    1. Use a lista Parameter (Parâmetro) para escolher um parâmetro. Os itens na lista Parameter (Parâmetro) são determinados pelos parâmetros no runbook do Automation que você selecionou no início deste procedimento. Ao escolher um parâmetro, você define o tipo de recurso em que o fluxo de trabalho da Automação é executado.

    2. Use a lista Targets (Destinos) para escolher como você deseja definir o destino dos recursos.

      1. Se você optar por definir o destino dos recursos usando valores de parâmetro, insira o valor do parâmetro para aquele escolhido na seção Input parameters (Parâmetros de entrada).

      2. Se você escolher definir o destino dos recursos usando o AWS Resource Groups, escolha o nome do grupo na lista Resource Group (Grupo de recursos).

      3. Se você optar por definir o destino dos recursos usando tags, insira a chave de tag e (opcionalmente) o valor da tag nos campos fornecidos. Escolha Add.

      4. Se você quiser executar um runbook do Automation em todas as instâncias nas Conta da AWS e Região da AWS atuais, escolha All instances (Todas as instâncias).

  11. Na seção Input parameters (Parâmetros de entrada), especifique as entradas necessárias. Escolha o perfil de serviço do IAM AWS-SystemsManager-AutomationAdministrationRole na lista AutomationAssumeRole.

    nota

    Pode ser que não seja necessário escolher algumas das opções na seção Input parameters (Parâmetros de entrada). Isso ocorre porque você definiu o destino de recursos em várias regiões e contas usando tags ou um grupo de recursos. Por exemplo, se você escolheu o runbook AWS-RestartEC2Instance, você não precisará especificar ou escolher IDs de instância na seção Input parameters (Parâmetros de entrada). A automação localiza as instâncias para reiniciar usando as tags que você especificou.

  12. (Opcional) Escolha um alarme do CloudWatch a fim de aplicar à sua automação para monitoramento. Para anexar um alarme do CloudWatch à sua automação, a entidade principal do IAM que inicia a automação deve ter permissão para a ação iam:createServiceLinkedRole. Para obter mais informações sobre alarmes do CloudWatch, consulte Usar alarmes do Amazon CloudWatch. A automação será cancelada se o alarme for ativado, e as etapas OnCancel que você definiu serão executadas. Se você usar o AWS CloudTrail, você verá a chamada de API em sua trilha.

  13. Use as opções na seção Rate control (Controle de taxa) para restringir o número de recursos da AWS que podem executar o Automation dentro de cada par conta-região.

    Na seção Concurrency (Simultaneidade), escolha uma opção:

    • Escolha Targets (Destinos) para inserir um número absoluto de destinos que podem executar o fluxo de trabalho de Automação simultaneamente.

    • Escolha Percentage (Porcentagem) para inserir uma porcentagem do conjunto de destino que pode executar o fluxo de trabalho de Automação simultaneamente.

  14. Na seção Error threshold (Limite de erro), escolha uma opção:

    • Escolha errors (erros) para inserir um número absoluto de erros permitidos antes que a Automação deixe de enviar o fluxo de trabalho para outros recursos.

    • Escolha percentage (porcentagem) para inserir uma porcentagem de erros permitidos antes que a Automação deixe de enviar o fluxo de trabalho para outros recursos.

  15. Clique em Executar.

Executar uma automação em várias regiões e contas (linha de comando)

O procedimento a seguir descreve como usar a AWS CLI (no Linux ou no Windows) ou o AWS Tools for PowerShell para executar uma automação em várias regiões e contas da conta de gerenciamento do Automation.

Antes de começar

Antes de concluir o seguinte procedimento, anote as seguintes informações:

  • IDs de contas da Conta da AWS ou UOs nos quais você deseja executar a automação.

  • Regiões suportadas pelo Systems Manager onde você deseja executar a automação.

  • A chave e o valor da tag, ou o nome do grupo de recursos, nos quais você deseja executar a automação.

Para executar uma automação em várias regiões e contas

  1. Instale e configure a AWS CLI ou o AWS Tools for PowerShell, caso ainda não o tenha feito.

    Para obter informações, consulte Instalar ou atualizar a versão mais recente da AWS CLI e Instalar o AWS Tools for PowerShell.

  2. Use o formato a seguir para criar um comando para executar uma automação em várias regiões e contas: Substitua cada espaço reservado para recurso de exemplo por suas próprias informações.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name runbook name \
        --parameters AutomationAssumeRole=arn:aws:iam::management account ID:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name parameter name \
        --targets Key=tag key,Values=value \
        --target-locations Accounts=account ID,account ID 2,Regions=Region,Region 2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name runbook name ^
        --parameters AutomationAssumeRole=arn:aws:iam::management account ID:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name parameter name ^
        --targets Key=tag key,Values=value ^
        --target-locations Accounts=account ID,account ID 2,Regions=Region,Region 2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "tag key"
    $Targets.Values = "value"
    
    Start-SSMAutomationExecution `
        -DocumentName "runbook name" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::management account ID:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "parameter name" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="account ID","account ID 2";
        "Regions"="Region","Region 2";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    Aqui estão alguns exemplos:

    Exemplo 1: este exemplo reinicia instâncias do EC2 nas contas 123456789012 e 987654321098, que estão localizadas nas regiões us-east-2 e us-west-1. As instâncias devem ser marcadas com o valor do par de chaves da tag Env-PROD.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name AWS-RestartEC2Instance \
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name InstanceId \
        --targets Key=tag:Env,Values=PROD \
        --target-locations Accounts=123456789012,987654321098,Regions=us-east-2,us-west-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name AWS-RestartEC2Instance ^
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name InstanceId ^
        --targets Key=tag:Env,Values=PROD ^
        --target-locations Accounts=123456789012,987654321098,Regions=us-east-2,us-west-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "tag:Env"
    $Targets.Values = "PROD"
    
    Start-SSMAutomationExecution `
        -DocumentName "AWS-RestartEC2Instance" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "InstanceId" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="123456789012","987654321098";
        "Regions"="us-east-2","us-west-1";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    Exemplo 2: este exemplo reinicia instâncias do EC2 nas contas 123456789012 e 987654321098 , que estão localizadas na região eu-central-1. As instâncias devem ser membros do grupo de recursos prod-instances da AWS.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name AWS-RestartEC2Instance \
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name InstanceId \
        --targets Key=ResourceGroup,Values=prod-instances \
        --target-locations Accounts=123456789012,987654321098,Regions=eu-central-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name AWS-RestartEC2Instance ^
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name InstanceId ^
        --targets Key=ResourceGroup,Values=prod-instances ^
        --target-locations Accounts=123456789012,987654321098,Regions=eu-central-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "ResourceGroup"
    $Targets.Values = "prod-instances"
    
    Start-SSMAutomationExecution `
        -DocumentName "AWS-RestartEC2Instance" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "InstanceId" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="123456789012","987654321098";
        "Regions"="eu-central-1";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    Exemplo 3: este exemplo reinicia instâncias do EC2 na unidade organizacional (UO) ou-1a2b3c-4d5e6c da AWS. As instâncias estão localizadas nas regiões us-west-1 e us-west-2. As instâncias devem ser membros do grupo de recursos WebServices da AWS.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name AWS-RestartEC2Instance \
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name InstanceId \
        --targets Key=ResourceGroup,Values=WebServices \
        --target-locations Accounts=ou-1a2b3c-4d5e6c,Regions=us-west-1,us-west-2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name AWS-RestartEC2Instance ^
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name InstanceId ^
        --targets Key=ResourceGroup,Values=WebServices ^
        --target-locations Accounts=ou-1a2b3c-4d5e6c,Regions=us-west-1,us-west-2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "ResourceGroup"
    $Targets.Values = "WebServices"
    
    Start-SSMAutomationExecution `
        -DocumentName "AWS-RestartEC2Instance" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "InstanceId" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="ou-1a2b3c-4d5e6c";
        "Regions"="us-west-1";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    O sistema retorna informações semelhantes às seguintes.

    Linux & macOS
    {
        "AutomationExecutionId": "4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE"
    }
    Windows
    {
        "AutomationExecutionId": "4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE"
    }
    PowerShell
    4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE

  3. Execute o comando a seguir para visualizar os detalhes sobre a automação. Substitua automation execution ID (ID de execução da automação) por suas próprias informações.

    Linux & macOS
    aws ssm describe-automation-executions \
        --filters Key=ExecutionId,Values=automation execution ID
    Windows
    aws ssm describe-automation-executions ^
        --filters Key=ExecutionId,Values=automation execution ID
    PowerShell
    Get-SSMAutomationExecutionList | `
        Where {$_.AutomationExecutionId -eq "automation execution ID"}

  4. Execute o comando a seguir para visualizar os detalhes sobre o andamento da automação.

    Linux & macOS
    aws ssm get-automation-execution \
        --automation-execution-id 4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE
    Windows
    aws ssm get-automation-execution ^
        --automation-execution-id 4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE
    PowerShell
    Get-SSMAutomationExecution `
        -AutomationExecutionId a4a3c0e9-7efd-462a-8594-01234EXAMPLE
    nota

    Você pode também monitorar o status da automação no console. Na lista de execuções do Automation, escolha a execução que você acabou de processar e depois escolha a guia Execution steps (Etapas da execução). Esta guia mostra o status das ações de automação.

Mais informações

Aplicação de patch centralizada em várias contas e regiões com a Automação do AWS Systems Manager