Configurar o Janelas de manutenção - AWS Systems Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar o Janelas de manutenção

Antes que os usuários em sua conta possam criar e programar tarefas de janela de manutenção, eles devem as permissões necessárias. Para conceder essas permissões aos usuários, um administrador deve realizar estas duas tarefas:

Tarefa 1: Configurar permissões de instância

Forneça ao serviço Janelas de manutenção as permissões do AWS Identity and Access Management (IAM) necessárias para executar tarefas de janela de manutenção nas suas instâncias, de uma das seguintes maneiras:

  • Crie uma função de serviço personalizada para tarefas de janela de manutenção

  • Crie uma função vinculada a serviço para o AWS Systems Manager

Você especifica uma dessas funções como parte da configuração ao criar uma tarefa de janela de manutenção. Isso permite que o Systems Manager execute tarefas em janelas de manutenção em seu nome.

nota

Uma função vinculada ao serviço para o Systems Manager já pode ter sido criada em sua conta. No momento, a função vinculada ao serviço também fornece permissões para o recurso de inventário.

Para ajudar a decidir se uma função de serviço personalizada ou a função vinculada ao serviço do Systems Manager deve ser usada com uma tarefa da janela de manutenção, consulte Devo usar uma função vinculada ao serviço ou uma função de serviço personalizada para executar tarefas da janela de manutenção?.

Tarefa 2: Configurar permissões para usuários que têm permissão para registrar tarefas da janela de manutenção

Conceda iam:PassRole permissões para os usuários em sua conta que atribuem tarefas a janelas de manutenção. Isso permite que eles passem a função para o serviço da janela de manutenção. Sem essa permissão explícita, um usuário não pode atribuir tarefas a uma janela de manutenção ao usar uma função de serviço personalizada para executar tarefas da janela de manutenção.

Tarefa 3: Configurar permissões para usuários que não têm permissão para registrar tarefas da janela de manutenção

Negar ssm:RegisterTaskWithMaintenanceWindow permissões para os usuários em sua conta que você não deseja registrar tarefas nas janelas de manutenção. Isso impede que os usuários registrem uma tarefa de janela de manutenção usando a função vinculada ao serviço em uma solicitação de registro de tarefa da janela de manutenção.

Antes de começar

Para concluir as tarefas da seção, você precisa de um ou de ambos os recursos a seguir.

  • Você está atribuindo permissões a usuários ou grupos do IAM Esses usuários ou grupos já deveriam ter recebido permissões gerais para trabalhar com janelas de manutenção. Isso pode ser feito atribuindo a política do IAM AmazonSSMFullAccess aos usuários ou grupos ou criando e atribuindo uma política do IAM que forneça um conjunto menor de permissões de acesso para o Systems Manager que abranja tarefas da janela de manutenção. Para obter mais informações, consulte Criar grupos de usuários e Criar usuários e atribuir permissões.

  • (Opcional) Para janelas de manutenção que executam tarefas do Executar comando, é possível escolher que as notificações de status do Amazon Simple Notification Service (Amazon SNS) devem ser enviadas. Para obter informações sobre como configurar notificações do Amazon SNS para o Systems Manager, incluindo como criar uma função do IAM para ser usada no envio de notificações do SNS, consulte Monitorar as alterações de status do Systems Manager usando notificações do Amazon SNS.

Devo usar uma função vinculada ao serviço ou uma função de serviço personalizada para executar tarefas da janela de manutenção?

Para executar tarefas de manutenção em suas instâncias de destino, o serviço Janelas de manutenção deve ter permissão para acessar e executar tarefas em suas instâncias. Você pode fornecer essa permissão especificando a função vinculada ao serviço do Systems Manager ou uma função do serviço personalizada como parte da configuração de uma tarefa.

O tipo de função que você deve escolher depende dos seguintes fatores:

Função de serviço personalizada: use uma função de serviço personalizada para tarefas de janela de manutenção nos seguintes casos:

  • Se você quiser usar o Amazon Simple Notification Service (Amazon SNS) para enviar notificações relacionadas a alterações de status para Executar comando tarefas registradas em suas janelas de manutenção. Para obter informações, consulte os tópicos a seguir:

  • Se você quiser usar um conjunto de permissões mais restritivas que as fornecidas pela função vinculada ao serviço. A função vinculada ao serviço oferece suporte a restrições muito limitadas no nível de recurso. Por exemplo, digamos que você deseja permitir que as tarefas da janela de manutenção sejam executadas em um conjunto limitado de instâncias, ou que deseja permitir que somente determinados documentos do SSM sejam executados nas instâncias de destino. Nesses casos, você especifica permissões mais restritivas em uma função de serviço personalizada.

  • Se você precisar de um conjunto de permissões mais permissivo ou expandido do que os fornecidos pela função vinculada ao serviço. Algumas ações em documentos da Automação exigem permissões expandidas.

    Por exemplo, algumas ações da Automação trabalham com pilhas do AWS CloudFormation Portanto, as permissões cloudformation:CreateStack, cloudformation:DescribeStacke cloudformation:DeleteStack são necessárias.

    Outro exemplo: o documento de Automação AWS-CopySnapshot requer permissão para criar um snapshot do Amazon Elastic Block Store (Amazon EBS) e, portanto, a função de serviço precisa da permissão ec2:CreateSnapshot. Essa permissão não está incluída na função vinculada ao serviço para o Systems Manager.

    Para obter informações sobre as permissões de função necessárias para os documentos da Automação, consulte as descrições do documento em Referência de detalhes do registro.

Função vinculada ao serviço do Systems Manager: recomendamos usar uma função vinculada ao serviço do Systems Manager em todos os outros casos.

Para obter mais informações sobre a função vinculada ao serviço do Systems Manager, consulte Usar funções vinculadas ao serviço do Systems Manager.