Controlar o acesso às janelas de manutenção (console) - AWS Systems Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controlar o acesso às janelas de manutenção (console)

Os procedimentos a seguir descrevem como usar o console do AWS Systems Manager para criar as funções e permissões necessárias para janelas de manutenção.

Tarefa 1: (Opcional) Criar uma função de serviço personalizada para janelas de manutenção (console)

Use o procedimento a seguir para criar uma função de serviço personalizada para o recurso Janelas de manutenção para que o Systems Manager possa executar tarefas em seu nome.

Importante

Uma função de serviço personalizada não será necessária se você optar por usar uma função do Systems Manager vinculada ao serviço para permitir que as janelas de manutenção executem tarefas em seu nome. Se você não tiver uma função do Systems Manager vinculada ao serviço em sua conta, será possível criá-la ao criar ou atualizar uma tarefa de janela de manutenção usando o console do Systems Manager. Para obter mais informações, consulte os tópicos a seguir:

Para criar uma função de serviço personalizada (console)

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Roles e Create role.

  3. Faça as seguintes seleções:

    1. Select type of trusted entity (Selecionar tipo de entidade confiada) área: AWS service (Serviço da AWS)

    2. Área Selecionar o serviço que usará essa funçãoSystems Manager

  4. Escolha Próximo: Permissões.

  5. Na lista de políticas, marque a caixa de seleção ao lado AmazonSSMMaintenanceWindowRolede e escolha Next: Tags (Próximo: tags).

  6. (Opcional) Adicione um ou mais pares de chave-valor para organizar, rastrear ou controlar o acesso a esta função e escolha Next: Review (Próximo: revisar).

  7. Em Nome da função, insira um nome que identifique essa função como uma função de Janelas de manutenção, por exemplo my-maintenance-window-role.

  8. (Opcional) Altere a descrição da função padrão para refletir a finalidade dessa função. Por exemplo: Performs maintenance window tasks on your behalf.

  9. Selecione Create role (Criar função). O sistema o leva de volta à página Roles (Funções).

  10. Escolha o nome da função que você acabou de criar.

  11. Escolha a guia Relacionamentos de confiança e, em seguida, selecione Editar relacionamento de confiança.

  12. Verifique se a política a seguir aparece no campo Policy Document (Documento de política).

    { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  13. Escolha Update Trust Policy (Atualizar política de confiança) e copie ou anote o nome da função e o valor de Role ARN (ARN da função) na página Summary (Resumo). Você especificará essas informações ao criar sua janela de manutenção.

  14. (Opcional) Se você planeja configurar uma janela de manutenção para enviar notificações sobre status de comando usando o Amazon Simple Notification Service (Amazon SNS), quando executada por meio de uma tarefa de Executar comando comando, faça o seguinte:

    1. Escolha a guia Permissions (Permissões).

    2. Escolha Add inline policy (Adicionar política em linha) e escolha a guia JSON.

    3. Em Policy Document (Documento da política), cole o seguinte.

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "sns-access-role-arn" } ] }

      Substituir sns-access-role-arn com o ARN da IAM função do existente a ser usada para enviar notificações do Amazon Simple Notification Service (Amazon SNS) relacionadas à janela de manutenção, no formato arn:aws:iam::account-id:role/role-name. Por exemplo: arn:aws:iam::123456789012:role/my-sns-access-role. Para obter informações sobre como configurar Amazon SNS notificações do para o Systems Manager, incluindo sobre como criar uma IAM função do a ser usada para enviar notificações do SNS, consulte Monitorar as alterações de status do Systems Manager usando notificações do Amazon SNS.

      nota

      No Systems Manager console do , esse ARN é selecionado na lista IAM Role (Função) na página Register run command task (Registrar tarefa de comando de execução). Para obter mais informações, consulte Atribuir tarefas a uma janela de manutenção (console). Na API do Systems Manager, esse ARN é inserido como o valor de ServiceRoleArn na solicitação SendCommand

    4. Escolha Revisar política.

    5. Em Name (Nome), insira um nome para identificá-lo como uma política para permitir o envio de Amazon SNS notificações.

  15. Escolha Create policy (Criar política).

Tarefa 2: Configurar permissões para usuários que têm permissão para registrar tarefas da janela de manutenção (console)

Ao registrar uma tarefa com uma janela de manutenção, especifique uma função de serviço personalizada ou uma função do Systems Manager vinculada ao serviço para executar as operações de tarefa reais. Esta é a função que o serviço assumirá quando executar tarefas em seu nome. Antes disso, para registrar a tarefa em si, é necessário atribuir a política PassRole do IAM a uma conta de usuário do IAM ou a um grupo do IAM. Isso permite que o usuário do IAM ou grupo do IAM especifique, como parte do registro dessas tarefas na janela de manutenção, a função que deve ser usada ao executar tarefas. Para obter informações, consulte Conceder permissões ao usuário para passar uma função para um serviço da AWS no Guia do usuário do IAM.

Dependendo se você está atribuindo a permissão iam:Passrole a um usuário individual ou a um grupo, use um dos procedimentos a seguir para fornecer as permissões mínimas necessárias para registrar tarefas com uma janela de manutenção.

Para configurar permissões para usuários que têm permissão para registrar tarefas da janela de manutenção (console)

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Escolha Users (Usuários) e escolha o nome da conta de usuário que você deseja atualizar.

  3. Nas guias Permissions (Permissões), na lista de políticas, verifique se a AmazonSSMFullAccess política está listada ou se existe uma política comparável que dê ao IAM usuário do permissão para chamar a Systems Manager API . Adicione a permissão se ela não estiver incluída. Para obter informações, consulte Adicionar e remover políticas do IAM (console) no Guia do usuário do IAM.

  4. Escolha Add inline policy (Adicionar política em linha) e escolha a guia JSON.

  5. Em Policy Document (Documento da política), cole o seguinte.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "custom-role-arn" }, { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::account-id:role/" }, { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::account-id:role/aws-service-role/ssm.amazonaws.com/" } ] }

    Substituir custom-role-arn com o ARN da função da janela de manutenção personalizada criada anteriormente, como arn:aws:iam::123456789012:role/my-maintenance-window-role.

    Substituir account-id nas duas iam:ListRoles permissões com o ID da sua conta da AWS. Adicionar essa permissão para o recurso arn:aws:iam::account-id:role/ permite que um usuário visualize e escolha entre funções de cliente no console ao criar uma tarefa da janela de manutenção. Adicionar essa permissão para arn:aws:iam::account-id:role/aws-service-role/ssm.amazonaws.com/ permite que um usuário escolha a função vinculada ao serviço do Systems Manager no console ao criar uma tarefa da janela de manutenção.

  6. Escolha Revisar política.

  7. Na página Review policy (Revisar política), insira um nome na caixa Name (Nome) para identificar essa PassRole política, como e, em my-iam-passrole-policyseguida, escolha Create policy (Criar política).

Para configurar permissões para grupos que têm permissão para registrar tarefas da janela de manutenção (console)

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Groups.

  3. Na lista de grupos, selecione o nome do grupo ao qual você deseja atribuir a permissão iam:PassRole

  4. Na guia Permissions (Permissões), na seção Inline Policies (Políticas em linha), siga um destes procedimentos:

    • Se nenhuma política em linha tiver sido adicionada, selecione clique aqui.

    • Se uma ou mais políticas em linha tiverem sido adicionadas, escolha Create Group Policy (Criar políticas de grupo).

  5. Selecione Política personalizada e Selecionar.

  6. Em Policy Name (Nome da política), insira um nome para identificá-la como uma PassRole política de janelas de manutenção para seu grupo, como my-group-iam-passrole-policy.

  7. Em Policy Document (Documento da política), cole o seguinte.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "custom-role-arn" }, { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::account-id:role/" }, { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::account-id:role/aws-service-role/ssm.amazonaws.com/" } ] }

    Substituir custom-role-arn com o ARN da função da janela de manutenção personalizada criada anteriormente, como arn:aws:iam::123456789012:role/my-maintenance-window-role.

    Substituir account-id nas duas iam:ListRoles permissões com o ID da sua conta da AWS. Adicionar essa permissão para o recurso arn:aws:iam::account-id:role/ permite que os usuários do grupo visualizem e escolham entre funções de cliente no console ao criar uma tarefa da janela de manutenção. Adicionar essa permissão para arn:aws:iam::account-id:role/aws-service-role/ssm.amazonaws.com/ permite que os usuários do grupo escolham a função vinculada ao serviço do Systems Manager no console ao criar uma tarefa da janela de manutenção.

  8. Selecione Apply Policy (Aplicar política).

Tarefa 3: Configurar permissões para usuários que não têm permissão para registrar tarefas da janela de manutenção (console)

Se você estiver negando a ssm:RegisterTaskWithMaintenanceWindow permissão para um usuário individual ou um grupo, use um dos procedimentos a seguir para impedir que os usuários registrem tarefas em uma janela de manutenção.

Para configurar permissões para usuários que não têm permissão para registrar tarefas da janela de manutenção (console)

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Escolha Users (Usuários) e escolha o nome da conta de usuário que você deseja atualizar.

  3. Escolha Add inline policy (Adicionar política em linha) e escolha a guia JSON.

  4. Em Policy Document (Documento da política), cole o seguinte.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ssm:RegisterTaskWithMaintenanceWindow", "Resource": "*" } ] }
  5. Escolha Revisar política.

  6. Na página Review policy (Revisar política), insira um nome na caixa Name (Nome) para identificar essa política, como e, em my-deny-mw-tasks-policyseguida, escolha Create policy (Criar política).

Para configurar permissões para grupos que não têm permissão para registrar tarefas da janela de manutenção (console)

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Groups.

  3. Na lista de grupos, selecione o nome do grupo do qual você deseja negar a ssm:RegisterTaskWithMaintenanceWindow permissão.

  4. Na guia Permissions (Permissões), na seção Inline Policies (Políticas em linha), siga um destes procedimentos:

    • Se nenhuma política em linha tiver sido adicionada, selecione clique aqui.

    • Se uma ou mais políticas em linha tiverem sido adicionadas, escolha Create Group Policy (Criar políticas de grupo).

  5. Selecione Política personalizada e Selecionar.

  6. Em Policy Name (Nome da política), insira um nome para identificá-la como uma PassRole política de janelas de manutenção para seu grupo, como my-group-deny-mw-tasks-policy.

  7. Em Policy Document (Documento da política), cole o seguinte.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ssm:RegisterTaskWithMaintenanceWindow", "Resource": "*" } ] }
  8. Selecione Apply Policy (Aplicar política).