• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der [Amazon CloudWatch Dashboard-Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Einrichten der Automatisierung
Um Automation, ein Tool in, einzurichten AWS Systems Manager, müssen Sie den Benutzerzugriff auf den Automationsdienst überprüfen und Rollen situationsabhängig konfigurieren, damit der Dienst Aktionen an Ihren Ressourcen ausführen kann. Außerdem empfiehlt es sich, in den Automation-Einstellungen den adaptiven Nebenläufigkeitsmodus zu aktivieren. Die adaptive Nebenläufigkeit passt Ihr Automatisierungskontingent automatisch an Ihre Anforderungen an. Weitere Informationen finden Sie unter [Zulassen, dass sich Automation an Ihre Nebenläufigkeitsanforderungen anpasst](adaptive-concurrency.md).
Um einen ordnungsgemäßen Zugriff auf AWS Systems Manager Automation sicherzustellen, sollten Sie die folgenden Anforderungen an Benutzer- und Servicerollen überprüfen.
## Überprüfen des Benutzerzugriffs für Runbooks
Stellen Sie sicher, dass Sie berechtigt sind, Runbooks zu verwenden. Wenn Ihrem Benutzer, Ihrer Gruppe oder Ihrer Rolle Administratorrechte zugewiesen sind, haben Sie Zugriff auf Systems Manager Automation. Wenn Sie nicht über Administratorrechte verfügen, muss ein Administrator Ihnen die Berechtigung gewähren, indem er die von `AmazonSSMFullAccess` verwaltete Richtlinie oder eine Richtlinie, die vergleichbare Berechtigungen bereitstellt, Ihrem Benutzer, Ihrer Gruppe oder Ihrer Rolle zuweist.
**Wichtig**
Die IAM-Richtlinie `AmazonSSMFullAccess` erteilt Berechtigungen für Systems Manager Aktionen. Einige Runbooks erfordern jedoch Berechtigungen für andere Services, z. B. das Runbook `AWS-ReleaseElasticIP`, das IAM-Berechtigungen für `ec2:ReleaseAddress` erfordert. Daher müssen Sie die in einem Runbook ausgeführten Aktionen überprüfen, um sicherzustellen, dass Ihrem Benutzer, Ihrer Gruppe oder Ihrer Rolle die erforderlichen Berechtigungen zum Ausführen der im Runbook enthaltenen Aktionen zugewiesen sind.
## Konfigurieren eines Service-Rollenzugriffs (Rolle übernehmen) für Automatisierungen
Automation kann im Kontext einer Service-Rolle initiiert werden (oder *Übernahmerolle*). Auf diese Weise kann der Service Aktionen in Ihrem Namen ausführen. Wenn Sie keine Übernahmerolle angeben, verwendet Automation den Kontext des Benutzers, der die Automatisierung aufgerufen hat.
In den folgenden Situationen müssen Sie jedoch eine Servicerolle für Automation angeben:
+ Wenn Sie die Zugriffsberechtigungen eines Benutzers für eine Ressource einschränken, aber dem Benutzer die Ausführung einer Automatisierung gestatten möchten, der höhere Berechtigungen erfordert. In diesem Szenario können Sie eine Servicerolle mit höheren Berechtigungen erstellen und dem Benutzer das Ausführen der Automatisierung gestatten.
+ Wenn Sie eine Systems Manager State Manager-Zuordnung zum Ausführen eines Runbooks erstellen.
+ Wenn Sie Vorgänge haben, die voraussichtlich länger als 12 Stunden ausgeführt werden.
+ Wenn Sie ein Runbook ausführen, das nicht Amazon gehört und die `aws:executeScript` Aktion verwendet, um eine AWS API-Operation aufzurufen oder auf eine AWS Ressource zu reagieren. Weitere Informationen finden Sie unter [Berechtigungen für die Verwendung von Runbooks](automation-document-script-considerations.md#script-permissions).
Wenn Sie eine Servicerolle für Automation erstellen müssen, können Sie eine der folgenden Methoden anwenden.
**Topics**
+ [Überprüfen des Benutzerzugriffs für Runbooks](#automation-setup-user-access)
+ [Konfigurieren eines Service-Rollenzugriffs (Rolle übernehmen) für Automatisierungen](#automation-setup-configure-role)
+ [Erstellen Sie Servicerollen für die Automatisierung mithilfe von CloudFormation](automation-setup-cloudformation.md)
+ [Erstellen Sie die Servicerollen für Automation mithilfe der Konsole](automation-setup-iam.md)
+ [Beispiele für die Einrichtung identitätsbasierter Richtlinien](automation-setup-identity-based-policies.md)
+ [Zulassen, dass sich Automation an Ihre Nebenläufigkeitsanforderungen anpasst](adaptive-concurrency.md)
+ [Konfigurieren der automatischen Wiederholung für gedrosselte Vorgänge](automation-throttling-retry.md)
+ [Implementieren von Änderungskontrollen für Automatisierung](automation-change-calendar-integration.md)
# Erstellen Sie Servicerollen für die Automatisierung mithilfe von CloudFormation
Sie können eine Servicerolle für Automation, ein Tool in AWS Systems Manager, aus einer AWS CloudFormation Vorlage erstellen. Nachdem Sie die Servicerolle erstellt haben, können Sie die Servicerolle in Runbooks mit dem Parameter `AutomationAssumeRole` angeben.
## Erstellen Sie die Servicerolle mit CloudFormation
Gehen Sie wie folgt vor, um die erforderliche Rolle AWS Identity and Access Management (IAM) für Systems Manager Automation zu erstellen, indem Sie CloudFormation.
**Erstellen der erforderlichen IAM-Rolle**
1. Laden Sie die [https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/AWS-SystemsManager-AutomationServiceRole.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/AWS-SystemsManager-AutomationServiceRole.zip)-Datei herunter und entpacken Sie diese. Diese Datei enthält die `AWS-SystemsManager-AutomationServiceRole.yaml` CloudFormation Vorlagendatei.
1. Öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Wählen Sie **Stack erstellen** aus.
1. Wählen Sie im Abschnitt **Specify template (Vorlage angeben)** die Option **Upload a template file (Vorlagendatei hochladen)** aus.
1. Wählen Sie **Durchsuchen** und wählen Sie dann die `AWS-SystemsManager-AutomationServiceRole.yaml` CloudFormation Vorlagendatei aus.
1. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite **Stack-Details angeben** im Feld **Stack-Name** einen Namen ein.
1. Auf der Seite **Configure stack options (Stack-Optionen konfigurieren)** müssen Sie keine Auswahl treffen. Wählen Sie **Weiter** aus.
1. Scrollen Sie auf der Seite **„Überprüfen**“ nach unten und wählen Sie die Option **Ich bestätige, dass CloudFormation möglicherweise IAM-Ressourcen erstellt** werden.
1. Wählen Sie **Erstellen** aus.
CloudFormation zeigt den Status **CREATE\$1IN\$1PROGRESS** für ungefähr drei Minuten an. Der Status wird in **CREATE\$1COMPLETE** geändert, sobald der Stack erstellt wurde und die Rollen verwendet werden können.
**Wichtig**
Wenn Sie einen automatisierten Workflow ausführen, der andere Services mithilfe einer AWS Identity and Access Management -(IAM)-Servicerolle aufruft, muss die Servicerolle mit der Berechtigung zum Aufrufen dieser Services konfiguriert sein. Diese Anforderung gilt für alle AWS Automatisierungs-Runbooks (`AWS-*`Runbooks) wie die`AWS-ConfigureS3BucketLogging`,, und `AWS-RestartEC2Instance` Runbooks`AWS-CreateDynamoDBBackup`, um nur einige zu nennen. Diese Anforderung gilt auch für alle benutzerdefinierten Automatisierungs-Runbooks, die Sie erstellen und die andere mithilfe AWS-Services von Aktionen aufrufen, die andere Dienste aufrufen. Wenn Sie unter anderem `aws:executeAwsApi`-, `aws:createStack`- oder `aws:copyImage`-Aktionen verwenden, konfigurieren Sie die Dienstrolle mit der Berechtigung zum Aufrufen solcher Services. Sie können anderen AWS-Services Berechtigungen erteilen, indem Sie der Rolle eine eingebundene IAM-Richtlinie hinzufügen. Weitere Informationen finden Sie unter [(Optional) Fügen Sie eine Inline-Automatisierungsrichtlinie oder eine vom Kunden verwaltete Richtlinie hinzu, um andere aufzurufen AWS-Services](automation-setup-iam.md#add-inline-policy).
## Kopieren von Rolleninformationen für Automation
Gehen Sie wie folgt vor, um Informationen über die Automations-Servicerolle aus der CloudFormation Konsole zu kopieren. Sie müssen diese Rollen beim Verwenden eines Runbooks festlegen.
**Anmerkung**
Sie müssen keine Rolleninformationen mit diesen Schritten kopieren, wenn Sie die Runbooks `AWS-UpdateLinuxAmi` oder `AWS-UpdateWindowsAmi` ausführen. In diesen Runbook sind die erforderlichen Rollen bereits als Standardwerte festgelegt. Die Rollen in diesen Runbooks verwenden von IAM verwaltete Richtlinien.
**Kopieren der Rollennamen**
1. Öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Wählen Sie den **Stack name (Stack-Name)** der Automation aus, den Sie im vorherigen Verfahren erstellt haben.
1. Wählen Sie die Registerkarte **Resources (Ressourcen)** aus.
1. Wählen Sie den Link **Physical ID** für. **AutomationServiceRole** Beim Öffnen der IAM-Konsole wird eine Zusammenfassung der Servicerolle für die Automatisierung angezeigt.
1. Kopieren Sie den Amazon-Ressourcennamen (ARN) neben **Role ARN (Rollen-ARN)**. Der ARN ist ähnlich wie der folgende: `arn:aws:iam::12345678:role/AutomationServiceRole`
1. Kopieren Sie den ARN zur späteren Verwendung in eine Textdatei.
Sie haben die Konfiguration der Automation-Servicerolle abgeschlossen. Sie können jetzt den ARN der Automation-Servicerolle in Ihren Runbooks verwenden.
# Erstellen Sie die Servicerollen für Automation mithilfe der Konsole
Wenn Sie eine Servicerolle für Automation, ein Tool in, erstellen müssen AWS Systems Manager, führen Sie die folgenden Aufgaben aus. Weitere Informationen darüber, wann eine Servicerolle für Automation erforderlich ist, finden Sie unter [Einrichten der Automatisierung](automation-setup.md).
**Topics**
+ [Aufgabe 1: Erstellen einer Servicerolle für Automation](#create-service-role)
+ [Aufgabe 2: Hängen Sie die iam: PassRole -Richtlinie an Ihre Automation-Rolle an](#attach-passrole-policy)
## Aufgabe 1: Erstellen einer Servicerolle für Automation
Führen Sie die folgenden Schritte zum Erstellen einer Service-Rolle (oder *Übernahmerolle*) für Systems Manager Automation.
**Anmerkung**
Sie können diese Rolle auch in Runbooks, wie dem `AWS-CreateManagedLinuxInstance`-Runbook, verwenden. Wenn Sie diese Rolle oder den Amazon-Ressourcennamen (ARN) einer AWS Identity and Access Management (IAM) -Rolle in Runbooks verwenden, kann Automation Aktionen in Ihrer Umgebung ausführen, z. B. neue Instances starten und Aktionen in Ihrem Namen ausführen.
**Erstellen einer IAM-Rolle und Gestatten der Automatisierung**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Roles (Rollen)** und dann **Create role (Rolle erstellen)**.
1. Wählen Sie unter **Select type of trusted entity** (Typ der vertrauenswürdigen Entität auswählen) die Option **AWS -Service** aus.
1. Wählen Sie im Abschnitt **Choose a use case (Anwendungsfall auswählen)** die Option **Systems Manager** und wählen Sie dann **Next: Permissions (Weiter: Berechtigungen)**.
1. Suchen Sie auf der Seite **Angehängte Berechtigungsrichtlinie** nach der **SSMAutomationAmazon-Rollenrichtlinie**, wählen Sie sie aus und klicken Sie dann auf **Weiter: Überprüfen**.
1. Geben Sie auf der Seite **Review** im Feld **Role name** einen Namen und anschließend eine Beschreibung ein.
1. Wählen Sie **Create role (Rolle erstellen)** aus. Das System leitet Sie zur Seite **Rollen** zurück.
1. Wählen Sie auf der Seite **Roles (Rollen)** die gerade erstellte Rolle aus, um die Seite **Summary (Übersicht)** zu öffnen. Notieren Sie sich den **Role Name (Rollenname)** und **Role ARN (Rollen-ARN)**. Sie geben den Rollen-ARN an, wenn Sie im nächsten **Verfahren die iam: PassRole** -Richtlinie an Ihr IAM-Konto anhängen. Sie können den Rollennamen und den ARN in Runbooks festlegen.
**Anmerkung**
Die `AmazonSSMAutomationRole` Richtlinie weist die Automatisierungs-Rollenberechtigung einer Teilmenge von AWS Lambda Funktionen in Ihrem Konto zu. Diese Funktionen beginnen mit „Automation“ (Automatisierung). Wenn Sie die Automatisierung mit Lambda-Funktionen verwenden möchten, muss der Lambda-ARN das folgende Format verwenden:
`"arn:aws:lambda:*:*:function:Automation*"`
Wenn Sie über bestehende Lambda-Funktionen verfügen, die dieses Format ARNs nicht verwenden, müssen Sie Ihrer Automatisierungsrolle auch eine zusätzliche Lambda-Richtlinie hinzufügen, z. B. die **AWSLambdaRollenrichtlinie**. Die zusätzliche Richtlinie oder Rolle muss umfassendere Zugriffsberechtigungen für Lambda-Funktionen im AWS-Konto bieten.
Nachdem Sie Ihre Servicerolle erstellt haben, sollten Sie die Vertrauensrichtlinie bearbeiten, um das serviceübergreifende Confused-Deputy-Problem zu vermeiden. Das *Confused-Deputy-Problem* ist ein Sicherheitsproblem, bei dem eine Entität, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine Entität mit größeren Rechten zwingen kann, die Aktion auszuführen. In der AWS Tat kann ein dienstübergreifender Identitätswechsel zum Problem des verwirrten Stellvertreters führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *Anruf-Dienst*) einen anderen Dienst anruft (den *aufgerufenen Dienst*). Der Anruf-Dienst kann so manipuliert werden, dass er seine Berechtigungen verwendet, um auf die Ressourcen eines anderen Kunden zu reagieren, auf die er sonst nicht zugreifen dürfte. Um dies zu verhindern, AWS bietet Tools, mit denen Sie Ihre Daten für alle Dienste mit Dienstprinzipalen schützen können, denen Zugriff auf Ressourcen in Ihrem Konto gewährt wurde.
Wir empfehlen die Verwendung der globalen Bedingungskontext-Schlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) und [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) in ressourcenbasierten Richtlinien, um die Berechtigungen, die Automation einem anderen Service erteilt, auf eine bestimmte Ressource zu beschränken. Wenn der `aws:SourceArn`-Wert nicht die Konto-ID enthält, z. B. den ARN eines Amazon-S3-Buckets, müssen Sie beide globalen Bedingungskontext-Schlüssel verwenden, um Berechtigungen einzuschränken. Wenn Sie beide globale Bedingungskontextschlüssel verwenden und der `aws:SourceArn`-Wert die Konto-ID enthält, müssen der `aws:SourceAccount`-Wert und das Konto im `aws:SourceArn`-Wert dieselbe Konto-ID verwenden, wenn sie in der gleichen Richtlinienanweisung verwendet wird. Verwenden Sie `aws:SourceArn`, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten. Verwenden Sie `aws:SourceAccount`, wenn Sie zulassen möchten, dass Ressourcen in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft werden. Der Wert von `aws:SourceArn` muss für Automatisierungsausführungen der ARN sein. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Bedingungskontext-Schlüssel `aws:SourceArn` mit Platzhaltern (`*`) für die unbekannten Teile des ARN. Beispiel, `arn:aws:ssm:*:123456789012:automation-execution/*`.
Das folgende Beispiel zeigt, wie Sie die `aws:SourceArn` und `aws:SourceAccount` globale Bedingungskontext-Schlüssel für Automatisierung verwenden können, um das Confused-Deputy-Problem zu verhindern.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"ssm.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ssm:*:123456789012:automation-execution/*"
}
}
}
]
}
```
------
**So ändern Sie die Vertrauensrichtinie einer Rolle**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen**.
1. Wählen Sie in der Rollenliste in Ihrem Konto den Namen der Automation-Servicerolle aus.
1. Klicken Sie auf der Registerkarte **Trust Relationships (Vertrauensbeziehungen)** auf **Edit Trust Relationship (Vertrauensbeziehungen bearbeiten)**.
1. Bearbeiten Sie die Vertrauensrichtlinie mit den globalen Bedingungskontext-Schlüsseln `aws:SourceArn` und `aws:SourceAccount` für Automation, um das Confused-Deputy-Problem zu verhindern.
1. Wählen Sie **Update Trust Policy** (Vertrauensrichtlinie aktualisieren) aus, um die Änderungen zu speichern.
### (Optional) Fügen Sie eine Inline-Automatisierungsrichtlinie oder eine vom Kunden verwaltete Richtlinie hinzu, um andere aufzurufen AWS-Services
Wenn Sie eine Automatisierung ausführen, die andere Dienste AWS-Services mithilfe einer IAM-Servicerolle aufruft, muss die Servicerolle so konfiguriert sein, dass sie berechtigt ist, diese Dienste aufzurufen. Diese Anforderung gilt für alle AWS Automatisierungs-Runbooks (`AWS-*`Runbooks) wie, und `AWS-RestartEC2Instance` Runbooks `AWS-ConfigureS3BucketLogging``AWS-CreateDynamoDBBackup`, um nur einige zu nennen. Diese Anforderung gilt auch für alle von Ihnen erstellten benutzerdefinierten Runbooks, die andere AWS-Services aufrufen, indem sie Aktionen verwenden, die andere Services aufrufen. Wenn Sie unter anderem `aws:executeAwsApi`-, `aws:CreateStack`- oder `aws:copyImage`-Aktionen verwenden, dann müssen Sie die Servicerolle mit der Berechtigung zum Aufrufen solcher Services konfigurieren. Sie können anderen Benutzern Berechtigungen erteilen, AWS-Services indem Sie der Rolle eine IAM-Inline-Richtlinie oder eine vom Kunden verwaltete Richtlinie hinzufügen.
**So betten Sie eine eingebundene Richtlinie für eine Servicerolle ein (IAM-Konsole)**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich **Rollen**.
1. Wählen Sie in der Liste den Namen der Rolle aus, die Sie bearbeiten möchten.
1. Wählen Sie die Registerkarte **Berechtigungen**.
1. Wählen Sie in der Dropdown-Liste **Berechtigungen hinzufügen** die Option **Richtlinien anhängen** oder **Inline-Richtlinie erstellen**.
1. Wenn Sie die Option **Richtlinien anhängen** wählen, aktivieren Sie das Kontrollkästchen neben der Richtlinie, die Sie hinzufügen möchten, und wählen Sie **Berechtigungen hinzufügen**.
1. Wenn Sie **Inline-Richtlinie erstellen** wählen, wählen Sie die Registerkarte **JSON**.
1. Geben Sie ein JSON-Richtliniendokument für das Dokument ein AWS-Services , das Sie aufrufen möchten. Nachfolgend sind zwei Beispiele für JSON-Richtliniendokumente aufgeführt.
**Amazon S3 PutObject und GetObject Beispiel**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
**Amazon EC2 CreateSnapshot und Beispiel DescribeSnapShots**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"ec2:CreateSnapshot",
"Resource":"*"
},
{
"Effect":"Allow",
"Action":"ec2:DescribeSnapshots",
"Resource":"*"
}
]
}
```
------
Details zur IAM-Richtliniensprache und finden Sie in der [IAM JSON Policy Reference](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im *IAM-Benutzerhandbuch*.
1. Wählen Sie, wenn Sie fertig sind, **Review policy (Richtlinie überprüfen)** aus. Die [Richtlinienvalidierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) meldet mögliche Syntaxfehler.
1. Geben Sie auf der Seite **Review Policy (Richtlinie überprüfen)** im Feld **Name (Name)** einen Namen für die zu erstellende Richtlinie ein. Überprüfen Sie unter **Summary** die Richtlinienzusammenfassung, um die Berechtigungen einzusehen, die von Ihrer Richtlinie gewährt werden. Wählen Sie dann **Create policy** aus, um Ihre Eingaben zu speichern.
1. Nachdem Sie eine Inline-Richtlinie erstellt haben, wird sie automatisch in Ihre Rolle eingebettet.
## Aufgabe 2: Hängen Sie die iam: PassRole -Richtlinie an Ihre Automation-Rolle an
Fügen Sie mit den folgenden Schritten die Richtlinie `iam:PassRole` Ihrer Automation-Servicerolle hinzu. Dies erlaubt dem Automation-Service, die Rolle anderen Services oder Systems-Manager-Tools zu übergeben, wenn Automatisierungen ausgeführt werden.
**So hängen Sie die iam: PassRole -Richtlinie an Ihre Automatisierungsrolle an**
1. Wählen Sie auf der Seite **Summary** für die gerade erstellte Rolle die Registerkarte **Permissions**.
1. Wählen Sie **Inline-Richtlinie hinzufügen**.
1. Wählen Sie auf der Seite **Richtlinie erstellen** die Registerkarte **Visueller Editor** aus.
1. Wählen Sie **Service (Service)** und anschließend die Option **IAM** aus.
1. Wählen Sie **Select actions (Aktionen auswählen)** aus.
1. Geben Sie in das Textfeld **Aktionen filtern** die **PassRole**Option ein**PassRole**, und wählen Sie sie dann aus.
1. Wählen Sie **Resources** aus. Stellen Sie sicher, dass **Specific** ausgewählt ist und wählen Sie dann **Add ARN** aus.
1. Fügen Sie im Feld **Specify ARN for role (ARN für die Rolle angeben)** den ARN der Automation-Rolle ein, den Sie am Ende von Aufgabe 1 kopiert haben. Das System füllt die Felder **Account (Konto)** und **Role name with path (Rollenname mit Pfad)** automatisch aus.
**Anmerkung**
Wenn Sie möchten, dass die Automation-Servicerolle eine IAM-Instance-Profilrolle an eine EC2-Instance anfügt, müssen Sie den ARN der IAM-Instance-Profilrolle hinzufügen. Auf diese Weise kann die Automation-Servicerolle die IAM-Instance-Profilrolle an die Ziel-EC2-Instance übergeben.
1. Wählen Sie **Hinzufügen** aus.
1. Wählen Sie **Richtlinie prüfen**.
1. Geben Sie auf der Seite **Review Policy** einen Namen ein und wählen Sie anschließend **Create Policy** aus.
# Beispiele für die Einrichtung identitätsbasierter Richtlinien
Die folgenden Abschnitte enthalten Beispiele für identitätsbasierte IAM-Richtlinien für den Automationsdienst. AWS Systems Manager *Weitere Informationen zum Erstellen einer identitätsbasierten IAM-Richtlinie mithilfe dieser Beispieldokumente zu JSON-Richtlinien finden Sie unter [Erstellen von IAM-Richtlinien im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor).*
**Anmerkung**
Alle Beispiele enthalten ein fiktives Konto. IDs Die Konto-ID sollte nicht im Amazon-Ressourcennamen (ARN) für AWS eigene öffentliche Dokumente angegeben werden.
**Beispiele**
+ [Beispiel 1: Erlauben Sie einem Benutzer, ein Automatisierungsdokument auszuführen und sich die Ausführung der Automatisierung anzusehen](#automation-setup-identity-based-policies-example-1)
+ [Beispiel 2: Erlauben Sie einem Benutzer, eine bestimmte Version eines Automatisierungsdokuments auszuführen](#automation-setup-identity-based-policies-example-2)
+ [Beispiel 3: Erlauben Sie einem Benutzer, Automatisierungsdokumente mit einem bestimmten Tag auszuführen](#automation-setup-identity-based-policies-example-3)
+ [Beispiel 4: Erlauben Sie einem Benutzer, ein Automatisierungsdokument auszuführen, wenn ein bestimmter Tag-Parameter für die Automatisierungsausführung bereitgestellt wird](#automation-setup-identity-based-policies-example-4)
## Beispiel 1: Erlauben Sie einem Benutzer, ein Automatisierungsdokument auszuführen und sich die Ausführung der Automatisierung anzusehen
Mit der folgenden IAM-Beispielrichtlinie kann ein Benutzer folgende Aktionen ausführen:
+ Führen Sie das in der Richtlinie angegebene Automatisierungsdokument aus. Der Name des Dokuments wird durch den folgenden Eintrag bestimmt.
```
arn:aws:ssm:*:111122223333:document/{{DocumentName}}
```
+ Stoppen Sie eine Automatisierungsausführung und senden Sie Signale an sie.
+ Sehen Sie sich Details zur Automatisierungsausführung an, nachdem sie gestartet wurde.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ssm:StartAutomationExecution",
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*:111122223333:document/{{DocumentName}}",
"arn:aws:ssm:*:111122223333:automation-execution/*"
]
},
{
"Action": [
"ssm:StopAutomationExecution",
"ssm:GetAutomationExecution",
"ssm:DescribeAutomationExecutions",
"ssm:DescribeAutomationStepExecutions",
"ssm:SendAutomationSignal"
],
"Resource": [
"arn:aws:ssm:*:111122223333:automation-execution/*"
],
"Effect": "Allow"
}
]
}
```
------
## Beispiel 2: Erlauben Sie einem Benutzer, eine bestimmte Version eines Automatisierungsdokuments auszuführen
Das folgende Beispiel für eine IAM-Richtlinie ermöglicht es einem Benutzer, eine bestimmte Version eines Automatisierungsdokuments auszuführen:
+ Der Name des Automatisierungsdokuments wird durch den folgenden Eintrag bestimmt.
```
arn:aws:ssm:*:111122223333:document/{{DocumentName}}
```
+ Die Version des Automatisierungsdokuments wird durch den folgenden Eintrag bestimmt.
```
"ssm:DocumentVersion": "5"
```
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ssm:StartAutomationExecution",
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*:111122223333:document/{{DocumentName}}"
],
"Condition": {
"ForAnyValue:StringEquals": {
"ssm:DocumentVersion": ["5"]
}
}
},
{
"Action": [
"ssm:StartAutomationExecution"
],
"Resource": [
"arn:aws:ssm:*:111122223333:automation-execution/*"
],
"Effect": "Allow"
},
{
"Action": [
"ssm:StopAutomationExecution",
"ssm:GetAutomationExecution",
"ssm:DescribeAutomationExecutions",
"ssm:DescribeAutomationStepExecutions",
"ssm:SendAutomationSignal"
],
"Resource": [
"arn:aws:ssm:*:111122223333:automation-execution/*"
],
"Effect": "Allow"
}
]
}
```
------
## Beispiel 3: Erlauben Sie einem Benutzer, Automatisierungsdokumente mit einem bestimmten Tag auszuführen
Das folgende Beispiel für eine IAM-Richtlinie ermöglicht es einem Benutzer, jedes Automatisierungsdokument mit einem bestimmten Tag auszuführen:
+ Der Name des Automatisierungsdokuments wird durch den folgenden Eintrag bestimmt.
```
arn:aws:ssm:*:111122223333:document/{{DocumentName}}
```
+ Das Tag des Automatisierungsdokuments wird durch den folgenden Eintrag bestimmt.
```
"ssm:DocumentVersion": "5"
```
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ssm:StartAutomationExecution",
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*:111122223333:document/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/stage": "production"
}
}
},
{
"Action": [
"ssm:StartAutomationExecution"
],
"Resource": [
"arn:aws:ssm:*:111122223333:automation-execution/*"
],
"Effect": "Allow"
},
{
"Action": [
"ssm:StopAutomationExecution",
"ssm:GetAutomationExecution",
"ssm:DescribeAutomationExecutions",
"ssm:DescribeAutomationStepExecutions",
"ssm:SendAutomationSignal"
],
"Resource": [
"arn:aws:ssm:*:111122223333:automation-execution/*"
],
"Effect": "Allow"
}
]
}
```
------
## Beispiel 4: Erlauben Sie einem Benutzer, ein Automatisierungsdokument auszuführen, wenn ein bestimmter Tag-Parameter für die Automatisierungsausführung bereitgestellt wird
Das folgende Beispiel für eine IAM-Richtlinie gewährt einem Benutzer die Erlaubnis, Automatisierungsdokumente auszuführen, wenn ein bestimmter Tag-Parameter für die Automatisierungsausführung bereitgestellt wird:
+ Führen Sie das in der Richtlinie angegebene Automatisierungsdokument aus. Der Name des Dokuments wird durch den folgenden Eintrag bestimmt.
```
arn:aws:ssm:*:111122223333:document/{{DocumentName}}
```
+ Muss einen bestimmten Tag-Parameter für die Automatisierungsausführung angeben. Der Tag-Parameter für die Automatisierungsausführungsressource wird durch den folgenden Eintrag bestimmt.
```
"aws:ResourceTag/stage": "production"
```
+ Stoppt und sendet Signale an Automatisierungsausführungen, die über das angegebene Tag verfügen.
+ Zeigt Details zu den Automatisierungsausführungen an, die das angegebene Tag haben.
+ Fügt das angegebene Tag zu den SSM-Ressourcen hinzu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ssm:StartAutomationExecution",
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*:111122223333:document/{{DocumentName}}"
]
},
{
"Action": [
"ssm:StartAutomationExecution",
"ssm:StopAutomationExecution",
"ssm:GetAutomationExecution",
"ssm:DescribeAutomationExecutions",
"ssm:DescribeAutomationStepExecutions",
"ssm:SendAutomationSignal"
],
"Resource": [
"arn:aws:ssm:*:111122223333:automation-execution/*"
],
"Effect": "Allow",
"Condition": {
"StringEquals": {
"aws:ResourceTag/environment": "beta"
}
}
},
{
"Action": "ssm:AddTagsToResource",
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*:111122223333:automation-execution/*"
]
}
]
}
```
------
# Zulassen, dass sich Automation an Ihre Nebenläufigkeitsanforderungen anpasst
Standardmäßig können Sie mit Automation bis zu 100 nebenläufige Automatisierungen gleichzeitig ausführen. Automation bietet zudem eine optionale Einstellung, mit der Sie Ihr Kontingent für nebenläufige Automatisierungen automatisch anpassen können. Mit dieser Einstellung kann Ihr Kontingent je nach verfügbaren Ressourcen bis zu 500 nebenläufige Automatisierungen umfassen.
**Anmerkung**
Wenn Ihre Automatisierung API-Vorgänge aufruft, kann eine adaptive Skalierung entsprechend Ihren Zielen zu Drosselungsausnahmen führen. Wenn beim Ausführen von Automatisierungen mit aktivierter adaptiver Nebenläufigkeit wiederholt Drosselungsausnahmen auftreten, müssen Sie möglicherweise Kontingenterhöhungen für den API-Vorgang anfordern, sofern verfügbar.
**Um die adaptive Parallelität zu aktivieren, verwenden Sie den AWS-Managementkonsole**
1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Klicken Sie im Navigationsbereich auf **Automation**.
1. Wählen Sie die Registerkarte **Präferenzen** und anschließend **Bearbeiten** aus.
1. Aktivieren Sie das Kontrollkästchen neben **Enable adaptive concurrency** (Adaptive Nebenläufigkeit aktivieren).
1. Wählen Sie **Speichern**.
**So aktivieren Sie die adaptive Nebenläufigkeit mit der Befehlszeile**
+ Öffnen Sie AWS CLI oder Tools für Windows PowerShell und führen Sie den folgenden Befehl aus, um die adaptive Parallelität für Ihr Konto in der anfragenden Region zu aktivieren.
------
#### [ Linux & macOS ]
```
aws ssm update-service-setting \
--setting-id /ssm/automation/enable-adaptive-concurrency \
--setting-value True
```
------
#### [ Windows ]
```
aws ssm update-service-setting ^
--setting-id /ssm/automation/enable-adaptive-concurrency ^
--setting-value True
```
------
#### [ PowerShell ]
```
Update-SSMServiceSetting `
-SettingId "/ssm/automation/enable-adaptive-concurrency" `
-SettingValue "True"
```
------
# Konfigurieren der automatischen Wiederholung für gedrosselte Vorgänge
Die Anzahl der gleichzeitigen Automatisierungen, die in jedem Konto ausgeführt werden können. Wenn Sie versuchen, mehrere Automatisierungen in einem Konto gleichzeitig auszuführen, kann dies zu Drosselungsproblemen führen. Sie können die automatische Drosselungswiederholung verwenden, um das Wiederholungsverhalten für gedrosselte Automatisierungsschritte zu konfigurieren.
Die automatische Drosselungswiederholung für Automatisierungsaktionen bietet eine zuverlässigere Ausführungsumgebung für umfangreiche Vorgänge. Die Drosselungswiederholung unterstützt alle [Automatisierungsaktionen](automation-actions.md) mit Ausnahme von `aws:executeScript`.
Die Drosselungswiederholung kann zusätzlich zur Schritteigenschaft `maxAttempts` verwendet werden. Wenn beide Funktionen konfiguriert sind, versucht das System zunächst, Drosselungswiederholungen innerhalb des angegebenen Zeitlimits einzuschränken, und wendet dann die `maxAttempts`-Einstellung an, wenn der Schritt weiterhin fehlschlägt.
**Um die Drosselung zu konfigurieren, versuchen Sie es erneut mit dem AWS-Managementkonsole**
1. Öffnen Sie die Konsole unter AWS Systems Manager . [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Klicken Sie im Navigationsbereich auf **Automation**.
1. Wählen Sie die Registerkarte **Präferenzen** und anschließend **Bearbeiten** aus.
1. Geben Sie im Feld **Zeitlimit für die Drosselungswiederholung** einen Wert zwischen 0 und 3 600 Sekunden ein. Dies gibt an, wie lange einer gedrosselter Schritt maximal wiederholt wird.
1. Wählen Sie **Speichern**.
**Konfigurieren Sie die Drosselungswiederholung mit der Befehlszeile wie folgt:**
+ Öffnen Sie AWS CLI oder Tools für Windows PowerShell und führen Sie den folgenden Befehl aus, um die Drosselung der Wiederholungsversuche für Ihr Konto in der anfragenden Region zu konfigurieren.
------
#### [ Linux & macOS ]
```
aws ssm update-service-setting \
--setting-id /ssm/automation/throttled-retry-time-limit \
--setting-value 3600
```
------
#### [ Windows ]
```
aws ssm update-service-setting ^
--setting-id /ssm/automation/throttled-retry-time-limit ^
--setting-value 3600
```
------
#### [ PowerShell ]
```
Update-SSMServiceSetting `
-SettingId "/ssm/automation/throttled-retry-time-limit" `
-SettingValue "3600"
```
------
# Implementieren von Änderungskontrollen für Automatisierung
Standardmäßig ermöglicht Automatisierung die Verwendung von Runbooks ohne Datums- und Zeitbeschränkungen. Durch die Integration von Automation mit Change Calendar können Sie Änderungskontrollen für alle Automatisierungen in Ihrem AWS-Konto implementieren. Mit dieser Einstellung können AWS Identity and Access Management (IAM)-Prinzipale in Ihrem Konto Automatisierungen nur während der von Ihrem Änderungskalender zugelassenen Zeiträume ausführen. Weitere Informationen zum Arbeiten mit Change Calendar finden Sie unter [Arbeiten mit Change Calendar](systems-manager-change-calendar-working.md).
**So aktivieren Sie Änderungskontrollen (Konsole)**
1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Klicken Sie im Navigationsbereich auf **Automation**.
1. Wählen Sie die Registerkarte **Präferenzen** und anschließend **Bearbeiten** aus.
1. Aktivieren Sie das Kontrollkästchen neben **Change Calendar-Integration aktivieren**.
1. Wählen Sie in der Dropdown-Liste **Änderungskalender auswählen** den Änderungskalender aus, dem die Automatisierung folgen soll.
1. Wählen Sie **Speichern**.