Automatisierungen in mehreren Konten AWS-Regionen ausführen - AWS Systems Manager
Einrichten von Managementkonto-Berechtigungen für regionen- und kontenübergreifende Automatisierungen.Ausführen von Automatisierungen in mehreren Regionen und Konten (Konsole)Ausführen von Automatisierungen in mehreren Regionen und Konten (Befehlszeile)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Automatisierungen in mehreren Konten AWS-Regionen ausführen

Sie können AWS Systems Manager Automatisierungen für mehrere AWS-Konten und/oder AWS-Regionen AWS Organizations organisatorische Einheiten (OUs) von einem zentralen Konto aus ausführen. Automation ist ein Tool in AWS Systems Manager. Durch die Ausführung von Automatisierungen in mehreren Regionen und Konten OUs wird der Zeitaufwand für die Verwaltung Ihrer AWS Ressourcen reduziert und gleichzeitig die Sicherheit Ihrer Computerumgebung verbessert.

Sie können z. B. Folgendes tun, indem Sie Automatisierungs-Runbooks verwenden:

  • Implementieren Sie Patches und Sicherheitsupdates zentral.

  • Korrigieren Sie Compliance-Abweichungen bei VPC-Konfigurationen oder Amazon-S3-Bucket-Richtlinien.

  • Verwalten Sie Ressourcen wie Amazon Elastic Compute Cloud (Amazon EC2) EC2 -Instances in großem Umfang.

Das folgende Diagramm zeigt ein Beispiel für einen Benutzer, der das AWS-RestartEC2Instances-Runbook in mehreren Regionen und Konten von einem zentralen Konto aus ausführt. Die Automatisierung sucht die Instances unter Verwendung der angegebenen Tags in den Zielregionen und -konten.

Abbildung der Ausführung von Systems Manager Automation in mehreren Regionen und Konten.
Auswählen eines zentralen Kontos für Automation

Wenn Sie Automatisierungen überall ausführen möchten OUs, muss das zentrale Konto über die Berechtigungen verfügen, um alle Konten in der OUs aufzulisten. Dies ist nur über ein delegiertes Administratorkonto oder das Verwaltungskonto der Organisation möglich. Wir empfehlen Ihnen, AWS Organizations bewährte Methoden zu befolgen und ein delegiertes Administratorkonto zu verwenden. Weitere Informationen zu AWS Organizations bewährten Methoden finden Sie unter Bewährte Methoden für das Verwaltungskonto im AWS Organizations Benutzerhandbuch. Um ein delegiertes Administratorkonto für Systems Manager zu erstellen, können Sie den register-delegated-administrator Befehl mit dem verwenden, AWS CLI wie im folgenden Beispiel gezeigt.

aws organizations register-delegated-administrator \
    --account-id delegated admin account ID \
    --service-principal ssm.amazonaws.com

Wenn Sie Automatisierungen für mehrere Konten ausführen möchten, die nicht von AWS Organizations verwaltet werden, empfehlen wir, ein dediziertes Konto für die Automatisierungsverwaltung zu erstellen. Die Ausführung aller kontoübergreifenden Automatisierungen über ein dediziertes Konto vereinfacht die Verwaltung von IAM-Berechtigungen, die Fehlerbehebung und schafft eine Trennungsebene zwischen Betrieb und Verwaltung. Dieser Ansatz wird auch empfohlen, wenn Sie einzelne Konten verwenden AWS Organizations, aber nicht OUs darauf abzielen möchten.

So funktioniert das Ausführen von Automatisierungen

Das Ausführen von Automatisierungen über mehrere Regionen und Konten hinweg OUs funktioniert wie folgt:

  1. Melden Sie sich bei dem Konto an, das Sie als zentrales Automation-Konto konfigurieren möchten.

  2. Verwenden Sie das Einrichten von Managementkonto-Berechtigungen für regionen- und kontenübergreifende Automatisierungen.-Verfahren in diesem Thema, um die folgenden IAM-Rollen zu erstellen:

    • AWS-SystemsManager-AutomationAdministrationRole- Diese Rolle gibt dem Benutzer die Erlaubnis, Automatisierungen in mehreren Konten auszuführen und. OUs

    • AWS-SystemsManager-AutomationExecutionRole – Diese Rolle erteilt dem Benutzer die Berechtigung, Automatisierungen in den Zielkonten auszuführen.

  3. Wählen Sie das Runbook, die Regionen und die Konten oder den Ort aus, OUs an dem Sie die Automatisierung ausführen möchten.

    Anmerkung

    Stellen Sie sicher, dass die Zielorganisationseinheit die gewünschten Konten enthält. Wenn Sie ein benutzerdefiniertes Runbook auswählen, muss das Runbook für alle Zielkonten freigegeben werden. Weitere Informationen zum Teilen von Runbooks finden Sie unter Freigeben von SSM-Dokumenten. Weitere Informationen zur Verwendung von freigegebenen Runbooks finden Sie unter Verwenden von freigegebenen SSM-Dokumenten.

  4. Führen Sie die Automatisierung aus.

  5. Verwenden Sie die DescribeAutomationExecutionsAPI-Operationen GetAutomationExecutionDescribeAutomationStepExecutions, und von der AWS Systems Manager Konsole aus oder verwenden Sie, AWS CLI um den Automatisierungsfortschritt zu überwachen. Die Ausgabe der Schritte für die Automatisierung in Ihrem primären Konto wird die AutomationExecutionId der untergeordneten Automatisierungen sein. Um die Ausgabe der untergeordneten Automatisierungen anzuzeigen, die in Ihren Zielkonten erstellt wurden, müssen Sie das entsprechende Konto, die Region und die AutomationExecutionId In Ihrer Anfrage angeben.

Einrichten von Managementkonto-Berechtigungen für regionen- und kontenübergreifende Automatisierungen.

Verwenden Sie das folgende Verfahren, um die erforderlichen IAM-Rollen für die Systems Manager Automation regionen- und kontenübergreifende Ausführung von Automation mit AWS CloudFormation zu erstellen. In diesem Verfahren wird beschrieben, wie Sie die AWS-SystemsManager-AutomationAdministrationRole-Rolle erstellen. Sie müssen nur diese Rolle im zentralen Automation-Konto erstellen. In diesem Verfahren wird auch beschrieben, wie Sie die AWS-SystemsManager-AutomationExecutionRole-Rolle erstellen. Sie müssen diese Rolle in jedem Konto erstellen, das für die Ausführung von regionen- und kontenübergreifenden Automatisierungen verwendet werden soll. Wir empfehlen AWS CloudFormation StackSets , sie zu verwenden, um die AWS-SystemsManager-AutomationExecutionRole Rolle in den Konten zu erstellen, auf die Sie für die Ausführung von Automatisierungen mit mehreren Regionen und Konten abzielen möchten.

Um die erforderliche IAM-Administrationsrolle für Automatisierungen mit mehreren Regionen und mehreren Konten zu erstellen, verwenden Sie AWS CloudFormation

  1. Laden Sie das AWS-SystemsManager-AutomationAdministrationRole.zip herunter und entpacken Sie es.

    –oder–

    Wenn Ihre Konten verwaltet werden von. AWS Organizations AWS-SystemsManager-AutomationAdministrationRole (org).zip

    Diese Dateien enthalten die jeweiligen AWS-SystemsManager-AutomationAdministrationRole (org).yaml AWS CloudFormation Vorlagendateien AWS-SystemsManager-AutomationAdministrationRole.yaml und die Vorlagendateien.

  2. Öffnen Sie die AWS CloudFormation Konsole unter https://console.aws.amazon.com/cloudformation.

  3. Wählen Sie Stack erstellen aus.

  4. Wählen Sie im Abschnitt Vorlage angeben die Option Vorlage hochladen.

  5. Wählen Sie Datei auswählen und dann je nach Ihrer Auswahl in Schritt 1 die Datei AWS-SystemsManager-AutomationAdministrationRole.yaml oder die AWS-SystemsManager-AutomationAdministrationRole (org).yaml AWS CloudFormation Vorlagendatei aus.

  6. Wählen Sie Weiter aus.

  7. Geben Sie auf der Seite Stack-Details angeben im Feld Stack-Name einen Namen ein.

  8. Wählen Sie Weiter aus.

  9. Geben Sie auf der Seite Stack-Optionen konfigurieren Werte für die Optionen ein, die Sie verwenden möchten. Wählen Sie Weiter aus.

  10. Scrollen Sie auf der Seite „Überprüfen“ nach unten und wählen Sie die Option Ich bestätige, dass AWS CloudFormation möglicherweise IAM-Ressourcen mit benutzerdefinierten Namen erstellt werden.

  11. Wählen Sie Stack erstellen aus.

AWS CloudFormation zeigt den Status CREATE_IN_PROGRESS für ungefähr drei Minuten an. Der Status wechselt zu CREATE_COMPLETE.

Sie müssen die folgende Vorgehensweise in jedem Konto, für das Sie regionen- und kontenübergreifende Automatisierungen ausführen möchten, wiederholen.

Um die erforderliche IAM-Automatisierungsrolle für Automatisierungen mit mehreren Regionen und Konten zu erstellen, verwenden Sie AWS CloudFormation

  1. Laden Sie das AWS-SystemsManager-AutomationExecutionRole.zip herunter.

    –oder

    Wenn Ihre Konten verwaltet werden von. AWS Organizations AWS-SystemsManager-AutomationExecutionRole (org).zip

    Diese Dateien enthalten die AWS-SystemsManager-AutomationExecutionRole.yaml- bzw. die AWS-SystemsManager-AutomationExecutionRole (org).yamlAWS CloudFormation -Vorlagendateien.

  2. Öffnen Sie die AWS CloudFormation Konsole unter https://console.aws.amazon.com/cloudformation.

  3. Wählen Sie Stack erstellen aus.

  4. Wählen Sie im Abschnitt Vorlage angeben die Option Vorlage hochladen.

  5. Wählen Sie Datei auswählen und dann je nach Ihrer Auswahl in Schritt 1 die Datei AWS-SystemsManager-AutomationExecutionRole.yaml oder die AWS-SystemsManager-AutomationExecutionRole (org).yaml AWS CloudFormation Vorlagendatei aus.

  6. Wählen Sie Weiter aus.

  7. Geben Sie auf der Seite Stack-Details angeben im Feld Stack-Name einen Namen ein.

  8. Geben Sie im Abschnitt Parameter in das AdminAccountIdFeld die ID für das zentrale Automation-Konto ein.

  9. Wenn Sie diese Rolle für eine AWS Organizations Umgebung einrichten, gibt es im Abschnitt ein weiteres Feld namens OrganizationID. Geben Sie die ID Ihrer AWS Organisation ein.

  10. Wählen Sie Weiter aus.

  11. Geben Sie auf der Seite Stack-Optionen konfigurieren Werte für die Optionen ein, die Sie verwenden möchten. Wählen Sie Weiter aus.

  12. Scrollen Sie auf der Seite „Überprüfen“ nach unten und wählen Sie die Option Ich bestätige, dass AWS CloudFormation möglicherweise IAM-Ressourcen mit benutzerdefinierten Namen erstellt werden.

  13. Wählen Sie Stack erstellen aus.

AWS CloudFormation zeigt den Status CREATE_IN_PROGRESS für ungefähr drei Minuten an. Der Status wechselt zu CREATE_COMPLETE.

Ausführen von Automatisierungen in mehreren Regionen und Konten (Konsole)

Im folgenden Verfahren wird beschrieben, wie Sie mithilfe der Systems Manager-Konsole eine Automatisierung in mehreren Regionen und Konten über das Automation-Managementkonto ausführen.

Bevor Sie beginnen

Bevor Sie das folgende Verfahren ausführen, beachten Sie die folgenden Informationen:

  • Der Benutzer oder die Rolle, mit der Sie eine Automation für mehrere Regionen oder Konten ausführen, muss über die Berechtigung iam:PassRole für die Rolle AWS-SystemsManager-AutomationAdministrationRole verfügen.

  • AWS-Konto IDs oder OUs wo Sie die Automatisierung ausführen möchten.

  • Von Systems Manager unterstützte Regionen, in denen Sie die Automatisierung ausführen möchten.

  • Den Tag-Schlüssel und den Tag-Wert oder den Namen der Ressourcengruppe für die Ausführung der Automatisierung.

So führen Sie eine Automatisierung in mehreren Regionen und Konten aus

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Automatisierung und Automatisierung ausführen aus.

  3. Wählen Sie in der Liste Automation-Dokument ein Runbook. Wählen Sie eine oder mehrere Optionen im Bereich Dokumentkategorien, um SSM-Dokumente nach ihrem Zweck zu filtern. Um ein Runbook anzuzeigen, das Sie besitzen, wählen Sie die Im Besitz von mir-Registerkarte. Um ein Runbook anzuzeigen, das für Ihr Konto freigegeben ist, wählen Sie die Registerkarte Mit mir geteilt. Um alle Runbooks anzuzeigen, wählen Sie die Registerkarte Alle Dokumente.

    Anmerkung

    Sie können Informationen zu einem Runbook einsehen, indem Sie den Runbook-Namen auswählen.

  4. Überprüfen Sie im Abschnitt Dokument-Details, ob Dokumentversion auf die Version gesetzt ist, die Sie ausführen möchten. Das System bietet die folgenden Versionsoptionen:

    • Standardversion zur Laufzeit – Wählen Sie diese Option aus, wenn das Automation-Runbook regelmäßig aktualisiert wird und eine neue Standardversion zugewiesen ist.

    • Letzte Version zur Laufzeit – Wählen Sie diese Option aus, wenn das Automation-Runbook regelmäßig aktualisiert wird, und Sie die Version auszuführen möchten, die zuletzt aktualisiert wurde.

    • 1 (Standard) – Wählen Sie diese Option zur Ausführung der ersten Version des Dokuments, welches der Standard ist.

  5. Wählen Sie Weiter aus.

  6. Wählen Sie auf der Seite Execute automation document (Automation-Dokument ausführen) die Option Multi-account and Region (Mehrere Konten und Regionen).

  7. Verwenden Sie im Abschnitt Zielkonten und Regionen das Feld Konten, Organisationseinheiten (OUs) und Stammverzeichnisse, um die verschiedenen Organisationseinheiten AWS-Konten oder AWS Organisationseinheiten (OUs) anzugeben, in denen Sie die Automatisierung ausführen möchten. Trennen Sie mehrere Konten oder OUs durch ein Komma voneinander.

    1. (Optional) Aktivieren Sie das OUs Kontrollkästchen „Kind einbeziehen“, um alle untergeordneten Organisationseinheiten innerhalb der angegebenen OUs Organisationseinheiten einzubeziehen.

    2. (Optional) Geben Sie im Feld Konten und Organisationseinheiten ausschließen (OUs) eine durch Kommas getrennte Liste der Konten IDs und Organisationseinheiten ein IDs , die Sie aus den oben eingegebenen erweiterten Entitäten ausschließen möchten.

  8. Verwenden Sie die Liste Regionen zur Auswahl einer oder mehrerer Regionen für die Ausführung der Automatisierung.

  9. Verwenden Sie die Optionen für Multi-Region and account rate control (Regionen- und kontenübergreifende Ratensteuerung), um die Automatisierungen auf eine begrenzte Anzahl von Konten in einer begrenzten Anzahl von Regionen zu beschränken. Diese Optionen schränken nicht die Anzahl der AWS -Ressourcen ein, die die Automatisierungen ausführen können.

    1. Wählen Sie im Abschnitt Location (account-Region pair) concurrency (Standort- (Konto-Region-Paar) Gleichzeitigkeit) eine Option, um die Anzahl der Automatisierungen zu begrenzen, die gleichzeitig in mehreren Konten und Regionen ausgeführt werden können. Wenn Sie sich beispielsweise dafür entscheiden, eine Automatisierung in fünf (5) auszuführen AWS-Konten, die sich in vier (4) befinden AWS-Regionen, führt Systems Manager Automatisierungen in insgesamt 20 Konto-Region-Paaren aus. Sie können diese Option verwenden, um eine absolute Zahl anzugeben, z. B. 2, sodass die Automatisierung nur in 2 Konto-Region-Paaren gleichzeitig ausgeführt wird. Sie können aber auch einen Prozentsatz der Konto-Region-Paare angeben, der gleichzeitig ausgeführt werden kann. Beispielsweise geben Sie bei 20 Konto-Region-Paaren 20 % an: Dann wird die Automatisierung in maximal fünf (5) Konto-Region-Paaren gleichzeitig ausgeführt.

      • Wählen Sie targets (Ziele) aus, um eine absolute Anzahl von Konto-Region-Paaren einzugeben, die die Automatisierung gleichzeitig ausführen können.

      • Wählen Sie percent (Prozent) aus, um einen Prozentsatz von Konto-Region-Paaren einzugeben, die die Automatisierung gleichzeitig ausführen können.

    2. Wählen Sie im Abschnitt Fehlerschwellenwert eine Option aus:

      • Wählen Sie Fehler, um eine absolute Anzahl von zulässigen Fehlern anzugeben, bevor die Automation damit aufhört, die Automatisierung an andere Ressourcen zu senden.

      • Wählen Sie percentage aus, um einen Prozentsatz von zulässigen Fehlern anzugeben, bevor Automation damit aufhört, die Automatisierung an andere Ressourcen zu senden.

  10. Wählen Sie im Abschnitt Ziele die Ausrichtung auf die AWS -Ressourcen für die Ausführung der Automation. Diese Optionen sind erforderlich.

    1. Wählen Sie in der Liste Parameter einen Parameter aus. Die Elemente in der Liste Parameter richten sich nach den Parametern in dem Automation-Runbook, das Sie zu Beginn dieses Verfahrens ausgewählt haben. Durch Auswahl eines Parameters legen Sie den Typ der Ressource fest, für die der Automation-Workflow ausgeführt wird.

    2. Wählen Sie in der Liste Ziele aus, wie Sie Ressourcen als Ziele verwenden möchten.

      1. Wenn Sie die Zielressourcen mithilfe von Parameterwerten ausgewählt haben, geben Sie den Parameterwert für den gewählten Parameter im Feld Eingabeparameter eingeben ein.

      2. Wenn Sie Ressourcen mithilfe von als Ziel verwenden möchten AWS Resource Groups, wählen Sie den Namen der Gruppe aus der Liste der Ressourcengruppen aus.

      3. Wenn Sie die Zielressourcen mithilfe von Tags ausgewählt haben, geben Sie den Tag-Schlüssel und (optional) den Tag-Wert in die entsprechenden Felder ein. Wählen Sie Hinzufügen aus.

      4. Wenn Sie ein Automatisierungs-Runbook auf allen Instanzen im aktuellen AWS-Konto und ausführen möchten AWS-Region, wählen Sie Alle Instanzen aus.

  11. Geben Sie im Abschnitt Eingabeparameter die erforderlichen Eingaben an. Wählen Sie die AWS-SystemsManager-AutomationAdministrationRole IAM-Servicerolle aus der AutomationAssumeRoleListe aus.

    Anmerkung

    Möglicherweise müssen Sie einige der Optionen im Abschnitt Eingabeparameter nicht auswählen. Dies liegt daran, dass Sie Ressourcen in mehreren Regionen und Konten mithilfe von Tags oder einer Ressourcengruppe als Ziele ausgewählt haben. Wenn Sie beispielsweise das AWS-RestartEC2Instance Runbook ausgewählt haben, müssen Sie IDs im Abschnitt Eingabeparameter keine Instanz angeben oder auswählen. Die Automatisierung sucht die Instances für den Neustart mit den von Ihnen angegebenen Tags.

  12. (Optional) Wählen Sie einen CloudWatch Alarm aus, der zur Überwachung auf Ihre Automatisierung angewendet werden soll. Um Ihrer Automatisierung einen CloudWatch Alarm zuzuweisen, muss der IAM-Principal, der die Automatisierung startet, über die Genehmigung für die iam:createServiceLinkedRole Aktion verfügen. Weitere Informationen zu CloudWatch Alarmen finden Sie unter CloudWatch Amazon-Alarme verwenden. Beachten Sie, dass, wenn Ihr Alarm ausgelöst wird, die Automatisierung abgebrochen wird und alle von Ihnen definierten OnCancel-Schritte ausgeführt werden. Wenn Sie dies verwenden AWS CloudTrail, wird der API-Aufruf in Ihrem Trail angezeigt.

  13. Verwenden Sie die Optionen im Abschnitt Preissteuerung, um die Anzahl der AWS Ressourcen zu beschränken, mit denen die Automatisierung innerhalb jedes Konto-Region-Paares ausgeführt werden kann.

    Wählen Sie im Abschnitt Gleichzeitigkeit eine Option aus:

    • Wählen Sie Ziele aus, um eine absolute Anzahl von Zielen einzugeben, die den Automation-Workflow gleichzeitig ausführen können.

    • Wählen Sie Prozentsatz aus, um einen Prozentsatz der Ziele anzugeben, die den Automation-Workflow gleichzeitig ausführen können.

  14. Wählen Sie im Abschnitt Fehlerschwellenwert eine Option aus:

    • Wählen Sie Fehler, um eine absolute Anzahl von zulässigen Fehlern anzugeben, bevor Automation damit aufhört, den Workflow an andere Ressourcen zu senden.

    • Wählen Sie Prozentsatz aus, um einen Prozentsatz von zulässigen Fehlern anzugeben, bevor Automation damit aufhört, den Workflow an andere Ressourcen zu senden.

  15. Wählen Sie Ausführen.

Nach Abschluss einer Automatisierungsausführung können Sie die Ausführung mit denselben oder geänderten Parametern erneut ausführen. Weitere Informationen finden Sie unter Wiederholtes Ausführen von Automatisierungsausführungen.

Ausführen von Automatisierungen in mehreren Regionen und Konten (Befehlszeile)

Das folgende Verfahren beschreibt, wie Sie das AWS CLI (unter Linux oder Windows) verwenden oder AWS -Tools für PowerShell eine Automatisierung in mehreren Regionen und Konten vom Automatisierungsverwaltungskonto aus ausführen.

Bevor Sie beginnen

Bevor Sie das folgende Verfahren ausführen, beachten Sie die folgenden Informationen:

  • AWS-Konto IDs oder OUs wo Sie die Automatisierung ausführen möchten.

  • Von Systems Manager unterstützte Regionen, in denen Sie die Automatisierung ausführen möchten.

  • Den Tag-Schlüssel und den Tag-Wert oder den Namen der Ressourcengruppe für die Ausführung der Automatisierung.

So führen Sie eine Automatisierung in mehreren Regionen und Konten aus

  1. Installieren und konfigurieren Sie das AWS CLI oder das AWS -Tools für PowerShell, falls Sie es noch nicht getan haben.

    Weitere Informationen finden Sie unter Installieren oder Aktualisieren der neuesten Version der AWS CLI und Installieren des AWS -Tools für PowerShell.

  2. Verwenden Sie das folgende Format, um eine Automatisierung in mehreren Regionen und Konten auszuführen. Ersetzen Sie jeden example resource placeholder durch Ihre Informationen.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name runbook name \
        --parameters AutomationAssumeRole=arn:aws:iam::management account ID:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name parameter name \
        --targets Key=tag key,Values=value \
        --target-locations Accounts=account ID,account ID 2,Regions=Region,Region 2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name runbook name ^
        --parameters AutomationAssumeRole=arn:aws:iam::management account ID:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name parameter name ^
        --targets Key=tag key,Values=value ^
        --target-locations Accounts=account ID,account ID 2,Regions=Region,Region 2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "tag key"
    $Targets.Values = "value"
    
    Start-SSMAutomationExecution `
        -DocumentName "runbook name" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::management account ID:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "parameter name" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="account ID","account ID 2";
        "Regions"="Region","Region 2";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }
    Beispiele: Ausführen einer Automatisierung in mehreren Regionen und Konten

    Im Folgenden finden Sie Beispiele, wie Sie das AWS CLI und PowerShell zum Ausführen von Automatisierungen in mehreren Konten und Regionen mit einem einzigen Befehl verwenden können.

    Beispiel 1: In diesem Beispiel werden EC2 Instanzen in drei Regionen einer gesamten AWS Organizations Organisation neu gestartet. Dies wird erreicht, indem die Root-ID der Organisation und das untergeordnete OUs Objekt als Ziel ausgewählt werden.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name "AWS-RestartEC2Instance" \
        --target-parameter-name InstanceId \
        --targets '[{"Key":"AWS::EC2::Instance","Values":["*"]}]' \
        --target-locations '[{
            "Accounts": ["r-example"],
            "IncludeChildOrganizationUnits": true,
            "Regions": ["us-east-1", "us-east-2", "us-west-2"]
        }]'
    Windows
    aws ssm start-automation-execution \
        --document-name "AWS-RestartEC2Instance" ^
        --target-parameter-name InstanceId ^
        --targets '[{"Key":"AWS::EC2::Instance","Values":["*"]}]' ^
        --target-locations '[{
            "Accounts": ["r-example"],
            "IncludeChildOrganizationUnits": true,
            "Regions": ["us-east-1", "us-east-2", "us-west-2"]
        }]'
    PowerShell
    Start-SSMAutomationExecution `
        -DocumentName "AWS-RestartEC2Instance" `
        -TargetParameterName "InstanceId" `
        -Targets '[{"Key":"AWS::EC2::Instance","Values":["*"]}]'
        -TargetLocation @{
            "Accounts"="r-example";
            "Regions"="us-east-1", "us-east-2", "us-west-2";
            "IncludeChildOrganizationUnits"=true}

    Beispiel 2: In diesem Beispiel werden bestimmte EC2 Instanzen in verschiedenen Konten und Regionen neu gestartet.

    Anmerkung

    Die TargetLocationMaxConcurrency Option ist mit dem AWS CLI und AWS SDKs verfügbar.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name "AWS-RestartEC2Instance" \
        --target-parameter-name InstanceId \
        --target-locations '[{
            "Accounts": ["123456789012"],
            "Targets": [{
                "Key":"ParameterValues",
                "Values":["i-02573cafcfEXAMPLE", "i-0471e04240EXAMPLE"]
            }],
            "TargetLocationMaxConcurrency": "100%",
            "Regions": ["us-east-1"]
        }, {
            "Accounts": ["987654321098"],
            "Targets": [{
                "Key":"ParameterValues",
                "Values":["i-07782c72faEXAMPLE"]
            }],
            "TargetLocationMaxConcurrency": "100%",
            "Regions": ["us-east-2"]
        }]'
    Windows
    aws ssm start-automation-execution ^
        --document-name "AWS-RestartEC2Instance" ^
        --target-parameter-name InstanceId ^
        --target-locations '[{
            "Accounts": ["123456789012"],
            "Targets": [{
                "Key":"ParameterValues",
                "Values":["i-02573cafcfEXAMPLE", "i-0471e04240EXAMPLE"]
            }],
            "TargetLocationMaxConcurrency": "100%",
            "Regions": ["us-east-1"]
        }, {
            "Accounts": ["987654321098"],
            "Targets": [{
                "Key":"ParameterValues",
                "Values":["i-07782c72faEXAMPLE"]
            }],
            "TargetLocationMaxConcurrency": "100%",
            "Regions": ["us-east-2"]
        }]'
    PowerShell
    Start-SSMAutomationExecution `
        -DocumentName "AWS-RestartEC2Instance" `
        -TargetParameterName "InstanceId" `
        -Targets '[{"Key":"AWS::EC2::Instance","Values":["*"]}]'
        -TargetLocation @({
            "Accounts"="123456789012",
            "Targets"= @{
                "Key":"ParameterValues",
                "Values":["i-02573cafcfEXAMPLE", "i-0471e04240EXAMPLE"]
            },
            "TargetLocationMaxConcurrency"="100%",
            "Regions"=["us-east-1"]
        }, {
            "Accounts"="987654321098",
            "Targets": @{
                "Key":"ParameterValues",
                "Values":["i-07782c72faEXAMPLE"]
            },
            "TargetLocationMaxConcurrency": "100%",
            "Regions"=["us-east-2"]
        })

    Beispiel 3: Dieses Beispiel zeigt die Angabe mehrerer Bereiche AWS-Konten und Regionen, in denen die Automatisierung mithilfe der --target-locations-url Option ausgeführt werden soll. Der Wert für diese Option muss eine JSON-Datei in einer öffentlich zugänglichen, vorsignierten Amazon S3-URL sein.

    Anmerkung

    --target-locations-urlist verfügbar, wenn Sie AWS CLI und verwenden AWS SDKs.

    Linux & macOS
    aws ssm start-automation-execution \
    --document-name "MyCustomAutomationRunbook" \
    --target-locations-url "https://amzn-s3-demo-bucket.s3.amazonaws.com/target-locations.json"
    Windows
    aws ssm start-automation-execution ^
    --document-name "MyCustomAutomationRunbook" ^
    --target-locations-url "https://amzn-s3-demo-bucket.s3.amazonaws.com/target-locations.json"
    PowerShell
    Start-SSMAutomationExecution `
    -DocumentName "MyCustomAutomationRunbook" `
    -TargetLocationsUrl "https://amzn-s3-demo-bucket.s3.amazonaws.com/target-locations.json"

    Beispielinhalt für die JSON-Datei:

    [
{ 
         "Accounts": [ "123456789012", "987654321098", "456789123012" ],
         "ExcludeAccounts": [ "111222333444", "999888444666" ],
         "ExecutionRoleName": "MyAutomationExecutionRole",
         "IncludeChildOrganizationUnits": true,
         "Regions": [ "us-east-1", "us-west-2", "ap-south-1", "ap-northeast-1" ],
         "Targets": ["Key": "AWS::EC2::Instance", "Values": ["i-2"]],
         "TargetLocationMaxConcurrency": "50%",
         "TargetLocationMaxErrors": "10",
         "TargetsMaxConcurrency": "20",
         "TargetsMaxErrors": "12"
 }
]

    Beispiel 4: In diesem Beispiel werden EC2 Instanzen in den 987654321098 Konten 123456789012 und neu gestartet, die sich in den us-west-1 Regionen us-east-2 und befinden. Die Instances müssen mit dem Tag-Schlüsselpaarwert Env-PROD markiert sein.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name AWS-RestartEC2Instance \
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name InstanceId \
        --targets Key=tag:Env,Values=PROD \
        --target-locations Accounts=123456789012,987654321098,Regions=us-east-2,us-west-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name AWS-RestartEC2Instance ^
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name InstanceId ^
        --targets Key=tag:Env,Values=PROD ^
        --target-locations Accounts=123456789012,987654321098,Regions=us-east-2,us-west-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "tag:Env"
    $Targets.Values = "PROD"
    
    Start-SSMAutomationExecution `
        -DocumentName "AWS-RestartEC2Instance" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "InstanceId" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="123456789012","987654321098";
        "Regions"="us-east-2","us-west-1";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    Beispiel 5: In diesem Beispiel werden EC2 Instanzen in den 987654321098 Konten 123456789012 und, die sich in der eu-central-1 Region befinden, neu gestartet. Die Instanzen müssen Mitglieder der prod-instances AWS Ressourcengruppe sein.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name AWS-RestartEC2Instance \
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name InstanceId \
        --targets Key=ResourceGroup,Values=prod-instances \
        --target-locations Accounts=123456789012,987654321098,Regions=eu-central-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name AWS-RestartEC2Instance ^
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name InstanceId ^
        --targets Key=ResourceGroup,Values=prod-instances ^
        --target-locations Accounts=123456789012,987654321098,Regions=eu-central-1,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "ResourceGroup"
    $Targets.Values = "prod-instances"
    
    Start-SSMAutomationExecution `
        -DocumentName "AWS-RestartEC2Instance" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "InstanceId" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="123456789012","987654321098";
        "Regions"="eu-central-1";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    Beispiel 6: In diesem Beispiel werden EC2 Instanzen in der ou-1a2b3c-4d5e6c AWS Organisationseinheit (OU) neu gestartet. Die Instances befinden sich in den Regionen us-west-1 und us-west-2. Die Instanzen müssen Mitglieder der WebServices AWS Ressourcengruppe sein.

    Linux & macOS
    aws ssm start-automation-execution \
        --document-name AWS-RestartEC2Instance \
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole \
        --target-parameter-name InstanceId \
        --targets Key=ResourceGroup,Values=WebServices \
        --target-locations Accounts=ou-1a2b3c-4d5e6c,Regions=us-west-1,us-west-2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    Windows
    aws ssm start-automation-execution ^
        --document-name AWS-RestartEC2Instance ^
        --parameters AutomationAssumeRole=arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole ^
        --target-parameter-name InstanceId ^
        --targets Key=ResourceGroup,Values=WebServices ^
        --target-locations Accounts=ou-1a2b3c-4d5e6c,Regions=us-west-1,us-west-2,ExecutionRoleName=AWS-SystemsManager-AutomationExecutionRole
    PowerShell
    $Targets = New-Object Amazon.SimpleSystemsManagement.Model.Target
    $Targets.Key = "ResourceGroup"
    $Targets.Values = "WebServices"
    
    Start-SSMAutomationExecution `
        -DocumentName "AWS-RestartEC2Instance" `
        -Parameter @{
        "AutomationAssumeRole"="arn:aws:iam::123456789012:role/AWS-SystemsManager-AutomationAdministrationRole" } `
        -TargetParameterName "InstanceId" `
        -Target $Targets `
        -TargetLocation @{
        "Accounts"="ou-1a2b3c-4d5e6c";
        "Regions"="us-west-1";
        "ExecutionRoleName"="AWS-SystemsManager-AutomationExecutionRole" }

    Die vom System zurückgegebenen Informationen ähneln den Folgenden.

    Linux & macOS
    {
        "AutomationExecutionId": "4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE"
    }
    Windows
    {
        "AutomationExecutionId": "4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE"
    }
    PowerShell
    4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE

  3. Führen Sie den folgenden Befehl aus, um Details zu der Automatisierung anzuzeigen. automation execution IDErsetzen Sie sie durch Ihre eigenen Informationen.

    Linux & macOS
    aws ssm describe-automation-executions \
        --filters Key=ExecutionId,Values=automation execution ID
    Windows
    aws ssm describe-automation-executions ^
        --filters Key=ExecutionId,Values=automation execution ID
    PowerShell
    Get-SSMAutomationExecutionList | `
        Where {$_.AutomationExecutionId -eq "automation execution ID"}

  4. Führen Sie den folgenden Befehl aus, um Details über den Automatisierungsprozess anzuzeigen.

    Linux & macOS
    aws ssm get-automation-execution \
        --automation-execution-id 4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE
    Windows
    aws ssm get-automation-execution ^
        --automation-execution-id 4f7ca192-7e9a-40fe-9192-5cb15EXAMPLE
    PowerShell
    Get-SSMAutomationExecution `
        -AutomationExecutionId a4a3c0e9-7efd-462a-8594-01234EXAMPLE
    Anmerkung

    Sie können auch den Status der Automatisierung in der Konsole überwachen. Wählen Sie in der Liste Automatisierungs-Ausführung die Automatisierung, die Sie gerade ausgeführt haben, und wählen Sie dann die Registerkarte Ausführungsschritte. Diese Registerkarte zeigt Ihnen den Status der Automatisierungs-Aktionen.

Weitere Informationen

Zentralisiertes regions- und kontenübergreifendes Patching mit AWS Systems Manager Automation