• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der [Amazon CloudWatch Dashboard-Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Einrichten von Maintenance Windows
Bevor Benutzer in Ihrem AWS-Konto Wartungsfensteraufgaben mit Maintenance Windows, einem Tool in AWS Systems Manager, planen und erstellen können, müssen ihnen die erforderlichen Berechtigungen erteilt werden. Darüber hinaus müssen Sie eine IAM-Servicerolle für Wartungsfenster und die IAM-Richtlinie erstellen, die an diese angehängt werden soll.
**Bevor Sie beginnen**
Zusätzlich zu den Berechtigungen, die Sie in diesem Abschnitt konfigurieren, sollten die IAM-Entitäten (Benutzer, Rollen oder Gruppen), die mit Wartungsfenstern arbeiten, bereits über allgemeine Wartungsfensterberechtigungen verfügen. Sie können diese Berechtigungen erteilen, indem Sie den Entitäten die IAM-Richtlinie `AmazonSSMFullAccess` zuweisen oder eine benutzerdefinierte IAM-Richtlinie zuweisen, die einen kleineren Satz von Zugriffsberechtigungen für Systems Manager bereitstellt, der Aufgaben des Wartungsfensters abdeckt.
**Topics**
+ [Steuern des Zugriffs auf Wartungsfenster mithilfe der Konsole](configuring-maintenance-window-permissions-console.md)
+ [Steuern Sie den Zugriff auf Wartungsfenster mithilfe der AWS CLI](configuring-maintenance-window-permissions-cli.md)
# Steuern des Zugriffs auf Wartungsfenster mithilfe der Konsole
Die folgenden Verfahren beschreiben, wie Sie die AWS Systems Manager Konsole verwenden, um die erforderlichen Berechtigungen und Rollen für Wartungsfenster zu erstellen.
**Topics**
+ [Aufgabe 1: Erstellen einer benutzerdefinierten Servicerolle für Wartungsfenster-Aufgaben](#create-custom-policy-console)
+ [Aufgabe 2: Erstellen einer benutzerdefinierten Servicerolle für Wartungsfenster mithilfe der Konsole](#create-custom-role-console)
+ [Aufgabe 3: Bestimmten Benutzern die Berechtigung erteilen, Wartungsfensteraufgaben über die Konsole zu registrieren](#allow-maintenance-window-access-console)
+ [Aufgabe 4: Verhindern, dass bestimmte Benutzer Aufgaben im Wartungsfenster über die Konsole registrieren](#deny-maintenance-window-access-console)
## Aufgabe 1: Erstellen einer benutzerdefinierten Servicerolle für Wartungsfenster-Aufgaben
Wartungsfenster-Aufgaben erfordern eine IAM-Rolle, um die Berechtigungen bereitzustellen, die für die Ausführung für die Zielressourcen erforderlich sind. Die Berechtigungen werden durch eine IAM-Richtlinie bereitgestellt, die der Rolle angefügt wird. Die Arten von Aufgaben, die Sie ausführen, und Ihre anderen betrieblichen Anforderungen bestimmen den Inhalt dieser Richtlinie. Wir bieten eine Basisrichtlinie an, die Sie Ihren Bedürfnissen anpassen können. Abhängig von den Aufgaben und Arten von Aufgaben, die Ihre Wartungsfenster ausführen, benötigen Sie möglicherweise nicht alle Berechtigungen in dieser Richtlinie und müssen möglicherweise zusätzliche Berechtigungen einschließen. Sie hängen diese Richtlinie an die Rolle an, die Sie später in [Aufgabe 2: Erstellen einer benutzerdefinierten Servicerolle für Wartungsfenster mithilfe der Konsole](#create-custom-role-console) erstellen.
**Erstellen einer benutzerdefinierten Richtlinie mithilfe der Konsole**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Richtlinien** und dann **Richtlinie erstellen**.
1. Wählen Sie im Abschnitt **Richtlinien-Editor** **JSON** aus.
1. Ersetzen Sie die Standardinhalte durch folgenden Inhalt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:CancelCommand",
"ssm:ListCommands",
"ssm:ListCommandInvocations",
"ssm:GetCommandInvocation",
"ssm:GetAutomationExecution",
"ssm:StartAutomationExecution",
"ssm:ListTagsForResource",
"ssm:DescribeInstanceInformation",
"ssm:GetParameters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"states:DescribeExecution",
"states:StartExecution"
],
"Resource": [
"arn:aws:states:*:*:execution:*:*",
"arn:aws:states:*:*:stateMachine:*"
]
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*"
]
},
{
"Effect": "Allow",
"Action": [
"resource-groups:ListGroups",
"resource-groups:ListGroupResources"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/maintenance-window-role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ssm.amazonaws.com"
]
}
}
}
]
}
```
------
1. Ändern Sie den JSON-Inhalt nach Bedarf für die Wartungsaufgaben, die Sie in Ihrem Konto ausführen. Die Änderungen, die Sie vornehmen, beziehen sich auf Ihre geplanten Abläufe.
Beispiel:
+ Sie können Amazon-Ressourcennamen (ARNs) für bestimmte Funktionen und Zustandsmaschinen angeben, anstatt Platzhalterkennungen (\$1) zu verwenden.
+ Wenn Sie nicht vorhaben, AWS Step Functions Aufgaben auszuführen, können Sie die `states` Berechtigungen und () ARNs entfernen.
+ Wenn Sie nicht vorhaben, AWS Lambda Aufgaben auszuführen, können Sie die `lambda` Berechtigungen und entfernen ARNs.
+ Wenn Sie keine Automatisierungs-Aufgaben ausführen möchten, können Sie die `ssm:GetAutomationExecution`- und `ssm:StartAutomationExecution`-Berechtigungen entfernen.
+ Fügen Sie zusätzliche Berechtigungen hinzu, die möglicherweise für die Ausführung der Aufgaben erforderlich sind. Manche Automatisierungsaktionen basieren z. B. auf AWS CloudFormation -Stacks. Aus diesem Grund sind die Berechtigungen `cloudformation:CreateStack`, `cloudformation:DescribeStacks` und `cloudformation:DeleteStack` erforderlich.
Als weiteres Beispiel benötigt das Automation-Runbook `AWS-CopySnapshot` Berechtigungen zum Erstellen eines Amazon Elastic Block Store (Amazon EBS)-Snapshots. Daher benötigt die Servicerolle die Berechtigung `ec2:CreateSnapshot`.
Informationen zu den Rollenberechtigungen, die von Automation-Runbooks benötigt werden, finden Sie in den Runbook-Beschreibungen in der [Referenz zum AWS Systems Manager -Automation-Runbook](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-runbook-reference.html).
1. Nachdem Sie die Richtlinienüberarbeitungen abgeschlossen haben, wählen Sie **Weiter: Tags**.
1. Geben Sie für **Richtlinienname** einen Namen ein, der dies als Richtlinie identifiziert, die von der von Ihnen erstellten Servicerolle verwendet wird. Beispiel: **my-maintenance-window-role-policy**.
1. (Optional) Fügen Sie im Bereich **Tags hinzufügen** ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Richtlinie zu organisieren, zu verfolgen oder zu steuern.
1. Wählen Sie **Richtlinie erstellen** aus.
Notieren Sie sich den Namen, den Sie für die Richtlinie angegeben haben. Sie beziehen sich im nächsten Verfahren, [Aufgabe 2: Erstellen einer benutzerdefinierten Servicerolle für Wartungsfenster mithilfe der Konsole](#create-custom-role-console), darauf.
## Aufgabe 2: Erstellen einer benutzerdefinierten Servicerolle für Wartungsfenster mithilfe der Konsole
Die Richtlinie, die Sie in der vorherigen Aufgabe erstellt haben, ist an die Wartungsfenster-Servicerolle angehängt, die Sie in dieser Aufgabe erstellen. Wenn Benutzer eine Wartungsfenster-Aufgabe registrieren, geben sie diese IAM-Rolle als Teil der Aufgabenkonfiguration an. Die Berechtigungen in dieser Rolle ermöglichen es Systems Manager, Wartungsfenster-Aufgaben in Ihrem Namen auszuführen.
**Wichtig**
Bisher bot Ihnen die Systems Manager Manager-Konsole die Möglichkeit, die AWS verwaltete, mit dem IAM-Dienst verknüpfte Rolle auszuwählen`AWSServiceRoleForAmazonSSM`, die Sie als Wartungsrolle für Ihre Aufgaben verwenden möchten. Die Verwendung dieser Rolle und der zugehörigen Richtlinie, `AmazonSSMServiceRolePolicy`, für Wartungsfenster-Aufgaben wird nicht mehr empfohlen. Wenn Sie diese Rolle jetzt für Wartungsfenster-Aufgaben verwenden, empfehlen wir Ihnen, sie nicht mehr zu verwenden. Erstellen Sie stattdessen Ihre eigene IAM-Rolle, die die Kommunikation zwischen Systems Manager und anderen ermöglicht, AWS-Services wenn Ihre Wartungsfensteraufgaben ausgeführt werden.
Verwenden Sie das folgende Verfahren, um eine benutzerdefinierte Servicerolle für Maintenance Windows zu erstellen, damit Systems Manager Maintenance Windows-Aufgaben in Ihrem Namen ausführen kann. Sie fügen die Richtlinie, die Sie in der vorherigen Aufgabe erstellt haben, an die von Ihnen erstellte benutzerdefinierte Servicerolle an.
**Erstellen einer benutzerdefinierten Servicerolle für Wartungsfenster mithilfe der Konsole**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen** und dann **Rolle erstellen**.
1. Wählen Sie für **Select trusted entity** (Vertrauenswürdige Entität auswählen) die folgenden Optionen:
1. Wählen Sie unter **Vertrauenswürdiger Entitätstyp** die Option **AWS -Service** aus.
1. Wählen Sie für **Anwendungsfall** **Systems Manager** aus
1. Wählen Sie **Systems Manager** aus.
In der folgenden Abbildung wird die Position der Systems-Manager-Option hervorgehoben.
![\[Systems Manager ist eine der Optionen für den Anwendungsfall.\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/iam_use_cases_for_MWs.png)
1. Wählen Sie **Weiter** aus.
1. Geben Sie im Bereich **Berechtigungsrichtlinien** in das Suchfeld den Namen der Richtlinie ein, die Sie in [Aufgabe 1: Erstellen einer benutzerdefinierten Servicerolle für Wartungsfenster-Aufgaben](#create-custom-policy-console) erstellt haben, aktivieren Sie das Kontrollkästchen neben dem Namen und wählen Sie dann **Weiter** aus.
1. Geben Sie unter **Role name** (Rollenname) einen Namen ein, der diese Rolle als Maintenance Windows-Rolle identifiziert. Beispiel: **my-maintenance-window-role**.
1. (Optional) Ändern der Standardrollenbeschreibung, um den Zweck dieser Rolle anzuzeigen. Beispiel: **Performs maintenance window tasks on your behalf**.
1. Stellen Sie für **Schritt 1: Vertrauenswürdige Entitäten auswählen** sicher, dass die folgende Richtlinie im Feld **Vertrauenswürdige Richtlinie** angezeigt wird.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Stellen Sie für **Schritt 2: Berechtigungen hinzufügen** sicher, dass die Richtlinie, die Sie in [Aufgabe 1: Erstellen einer benutzerdefinierten Servicerolle für Wartungsfenster-Aufgaben](#create-custom-policy-console) erstellt haben, vorhanden ist.
1. (Optional) Fügen Sie in **Schritt 3: Tags hinzufügen** ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Rolle zu organisieren, zu verfolgen oder zu steuern.
1. Wählen Sie **Create role (Rolle erstellen)** aus. Das System leitet Sie zur Seite **Rollen** zurück.
1. Wählen Sie den Namen der IAM-Rolle aus, die Sie gerade erstellt haben.
1. Kopieren oder Notieren Sie sich Rollenname und **ARN**-Wert im **Übersicht**-Bereich. Benutzer in Ihrem Konto geben diese Informationen an, wenn sie Wartungsfenster erstellen.
## Aufgabe 3: Bestimmten Benutzern die Berechtigung erteilen, Wartungsfensteraufgaben über die Konsole zu registrieren
Wenn Sie Benutzern Berechtigungen für den Zugriff auf die Servicerolle des benutzerdefinierten Wartungsfensters erteilen, können sie sie mit ihren Wartungsfenstern verwenden. Dies gilt zusätzlich zu den Berechtigungen, die Sie ihnen bereits zur Arbeit mit den Systems-Manager-API-Befehlen für das Tool Maintenance Windows erteilt haben. Diese IAM-Rolle vermittelt, dass Berechtigungen zum Ausführen einer Wartungsfenster-Aufgabe erforderlich sind. Infolgedessen kann ein Benutzer einem Wartungsfenster mithilfe Ihrer benutzerdefinierten Servicerolle keine Aufgaben registrieren, ohne diese IAM-Berechtigungen übergeben zu können.
Wenn Sie eine Aufgabe bei einem Wartungsfenster registrieren, geben Sie eine Servicerolle an, um die eigentlichen Aufgabenvorgänge auszuführen. Hierbei handelt es sich um die Rolle, die vom Service angenommen wird, wenn Aufgaben in Ihrem Namen ausgeführt werden. Um die Aufgabe selbst zu registrieren, weisen Sie zuvor die IAM-`PassRole`-Richtlinie einer IAM-Entität (z. B. einem Benutzer oder einer Gruppe) zu. Dadurch kann die IAM Entität als Teil der Registrierung dieser Aufgaben im Wartungsfenster die Rolle angeben, die beim Ausführen der Aufgaben verwendet werden soll. Weitere Informationen finden Sie unter [Erteilen von Berechtigungen, mit denen ein Benutzer eine Rolle an einen AWS-Serviceübergeben kann](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) im *IAM-Benutzerhandbuch*.
**So konfigurieren Sie Berechtigungen, die es Benutzern ermöglichen, Wartungsfensteraufgaben zu registrieren**
Wenn eine IAM-Entität (Benutzer, Rolle oder Gruppe) mit Administratorberechtigungen eingerichtet ist, hat der IAM-Benutzer oder die Rolle Zugriff auf Wartungsfenster. Für Entitäten ohne Administratorberechtigungen muss ein Administrator der IAM-Entität die folgenden Berechtigungen gewähren. Dies sind die Mindestberechtigungen, die erforderlich sind, um Aufgaben in einem Wartungsfenster zu registrieren:
+ Die von `AmazonSSMFullAccess` verwaltete Richtlinie oder eine Richtlinie, die vergleichbare Berechtigungen bereitstellt.
+ Die folgenden `iam:PassRole`- und `iam:ListRoles`-Berechtigungen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/my-maintenance-window-role"
},
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::111122223333:role/"
},
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/ssm.amazonaws.com/"
}
]
}
```
------
*my-maintenance-window-role*steht für den Namen der benutzerdefinierten Wartungsfenster-Servicerolle, die Sie zuvor erstellt haben.
*account-id*steht für die ID Ihres AWS-Konto. Durch das Hinzufügen dieser Berechtigung für die Ressource `arn:aws:iam::account-id:role/` können Benutzer Kundenrollen in der Konsole anzeigen und auswählen, wenn sie eine Wartungsfensteraufgabe erstellen. Durch das Hinzufügen dieser Berechtigung für `arn:aws:iam::account-id:role/aws-service-role/ssm.amazonaws.com/` können Benutzer die mit dem Systems Manager-Service verknüpfte Rolle in der Konsole auswählen, wenn sie eine Wartungsfensteraufgabe erstellen.
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
+ Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
+ Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter [Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*.
+ IAM-Benutzer:
+ Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter [Eine Rolle für einen IAM-Benutzer erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
+ (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
**Konfigurieren von Berechtigungen für Gruppen, die Wartungsfensteraufgaben registrieren dürfen mithilfe der Konsole**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Klicken Sie im Navigationsbereich auf **Groups oder Users**.
1. Wählen Sie in der Gruppenliste den Namen der Gruppe aus, der Sie die `iam:PassRole`-Berechtigung zuweisen möchten, oder erstellen Sie ggf. zunächst eine neue Gruppe
1. Wählen Sie auf der Registerkarte **Permissions** (Berechtigungen) die Optionen **Add permissions, Create Inline Policy** (Berechtigungen hinzufügen, Inline-Richtlinie erstellen) aus.
1. Wählen Sie im Bereich **Richtlinien-Editor** **JSON** und ersetzen Sie den Standardinhalt des Felds durch Folgendes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/my-maintenance-window-role"
},
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::111122223333:role/"
},
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/ssm.amazonaws.com/"
}
]
}
```
------
*my-maintenance-window-role*steht für den Namen der benutzerdefinierten Rolle im Wartungsfenster, die Sie zuvor erstellt haben.
*account-id*steht für die ID Ihres AWS-Konto. Durch das Hinzufügen dieser Berechtigung für die Ressource `arn:aws:iam::account-id:role/` können Benutzer Kundenrollen in der Konsole anzeigen und auswählen, wenn sie eine Wartungsfensteraufgabe erstellen. Durch das Hinzufügen dieser Berechtigung für `arn:aws:iam::account-id:role/aws-service-role/ssm.amazonaws.com/` können Benutzer die mit dem Systems Manager-Service verknüpfte Rolle in der Konsole auswählen, wenn sie eine Wartungsfensteraufgabe erstellen.
1. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite **Überprüfen und erstellen** einen Namen in das Feld **Richtlinenname** ein, um diese `PassRole`-Richtlinie zu identifizieren (beispielsweise **my-group-iam-passrole-policy**) und wählen Sie dann **Richtlinie erstellen** aus.
## Aufgabe 4: Verhindern, dass bestimmte Benutzer Aufgaben im Wartungsfenster über die Konsole registrieren
Sie können den Benutzern in Ihrem Bereich, die Sie nicht möchten AWS-Konto , die `ssm:RegisterTaskWithMaintenanceWindow` Erlaubnis verweigern, Aufgaben in Wartungsfenstern zu registrieren. Dies bietet eine zusätzliche Verhinderungsebene für Benutzer, die keine Wartungsfenster-Aufgaben registrieren sollten.
**Konfigurieren von Berechtigungen für Gruppen, die keine Wartungsfensteraufgaben registrieren dürfen mithilfe der Konsole**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Klicken Sie im Navigationsbereich auf **Groups oder Users**.
1. Wählen Sie in der Gruppenliste den Namen der Gruppe aus, der Sie die `ssm:RegisterTaskWithMaintenanceWindow`-Berechtigung verweigern möchten, oder erstellen Sie ggf. zunächst eine neue Gruppe.
1. Wählen Sie auf der Registerkarte **Permissions** (Berechtigungen) die Optionen **Add permissions, Create Inline Policy** (Berechtigungen hinzufügen, Inline-Richtlinie erstellen) aus.
1. Wählen Sie im Bereich **Richtlinien-Editor** **JSON** und ersetzen Sie dann den Standardinhalt des Felds durch Folgendes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ssm:RegisterTaskWithMaintenanceWindow",
"Resource": "*"
}
]
}
```
------
1. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite **Überprüfen und Erstellen** bei **Richtlinienname** einen Namen ein, um diese Richtlinie zu identifizieren (beispielsweise **my-groups-deny-mw-tasks-policy**) und wählen Sie dann **Richtlinie erstellen** aus.
# Steuern Sie den Zugriff auf Wartungsfenster mithilfe der AWS CLI
In den folgenden Verfahren wird beschrieben, wie Sie das AWS Command Line Interface (AWS CLI) verwenden, um die erforderlichen Berechtigungen und Rollen für Maintenance Windows ein Tool in zu erstellen AWS Systems Manager.
**Topics**
+ [Aufgabe 1: Vertrauensrichtlinien und vom Kunden verwaltete Richtliniendateien im JSON-Format erstellen](#create-custom-policy-json-files-cli)
+ [Aufgabe 2: Erstellen und verifizieren Sie eine benutzerdefinierte Servicerolle für Wartungsfenster mithilfe der AWS CLI](#create-custom-role-cli)
+ [Aufgabe 3: Erteilen Sie bestimmten Benutzern die Erlaubnis, Aufgaben im Wartungsfenster zu registrieren. Verwenden Sie dazu den AWS CLI](#allow-maintenance-window-access-cli)
+ [Aufgabe 4: Verhindern Sie, dass bestimmte Benutzer Aufgaben im Wartungsfenster registrieren, indem Sie AWS CLI](#deny-maintenance-window-access-cli)
## Aufgabe 1: Vertrauensrichtlinien und vom Kunden verwaltete Richtliniendateien im JSON-Format erstellen
Wartungsfenster-Aufgaben erfordern eine IAM-Rolle, um die Berechtigungen bereitzustellen, die für die Ausführung für die Zielressourcen erforderlich sind. Die Berechtigungen werden durch eine IAM-Richtlinie bereitgestellt, die der Rolle angefügt wird. Die Arten von Aufgaben, die Sie ausführen, und Ihre anderen betrieblichen Anforderungen bestimmen den Inhalt dieser Richtlinie. Wir bieten eine Basisrichtlinie an, die Sie Ihren Bedürfnissen anpassen können. Abhängig von den Aufgaben und Arten von Aufgaben, die Ihre Wartungsfenster ausführen, benötigen Sie möglicherweise nicht alle Berechtigungen in dieser Richtlinie und müssen möglicherweise zusätzliche Berechtigungen einschließen.
In dieser Aufgabe geben Sie die Berechtigungen, die für Ihre benutzerdefinierte Rolle im Wartungsfenster erforderlich sind, in einem Paar von JSON-Dateien an. Sie hängen diese Richtlinie an die Rolle an, die Sie später in [Aufgabe 2: Erstellen und verifizieren Sie eine benutzerdefinierte Servicerolle für Wartungsfenster mithilfe der AWS CLI](#create-custom-role-cli) erstellen.
**Um Vertrauensrichtlinien und vom Kunden verwaltete Richtliniendateien zu erstellen**
1. Kopieren Sie die folgende Vertrauensrichtlinie in eine Textdatei. Speichen Sie diese Datei mit folgendem Namen und folgender Dateierweiterung: **mw-role-trust-policy.json**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Kopieren Sie die folgende JSON-Richtlinie und fügen Sie sie in eine andere Textdatei ein. Speichern Sie diese Datei in demselben Verzeichnis, in dem Sie die erste Datei erstellt haben, mit dem folgenden Namen und der folgenden Dateierweiterung: **mw-role-custom-policy.json**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:CancelCommand",
"ssm:ListCommands",
"ssm:ListCommandInvocations",
"ssm:GetCommandInvocation",
"ssm:GetAutomationExecution",
"ssm:StartAutomationExecution",
"ssm:ListTagsForResource",
"ssm:GetParameters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"states:DescribeExecution",
"states:StartExecution"
],
"Resource": [
"arn:aws:states:*:*:execution:*:*",
"arn:aws:states:*:*:stateMachine:*"
]
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*"
]
},
{
"Effect": "Allow",
"Action": [
"resource-groups:ListGroups",
"resource-groups:ListGroupResources"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/maintenance-window-role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ssm.amazonaws.com"
]
}
}
}
]
}
```
------
1. Ändern Sie den Inhalt von `mw-role-custom-policy.json` nach Bedarf für die Wartungsaufgaben, die Sie in Ihrem Konto ausführen. Die Änderungen, die Sie vornehmen, beziehen sich auf Ihre geplanten Abläufe.
Beispiel:
+ Sie können Amazon-Ressourcennamen (ARNs) für bestimmte Funktionen und Zustandsmaschinen angeben, anstatt Platzhalterkennungen (\$1) zu verwenden.
+ Wenn Sie nicht vorhaben, AWS Step Functions Aufgaben auszuführen, können Sie die `states` Berechtigungen und () ARNs entfernen.
+ Wenn Sie nicht vorhaben, AWS Lambda Aufgaben auszuführen, können Sie die `lambda` Berechtigungen und entfernen ARNs.
+ Wenn Sie keine Automatisierungs-Aufgaben ausführen möchten, können Sie die `ssm:GetAutomationExecution`- und `ssm:StartAutomationExecution`-Berechtigungen entfernen.
+ Fügen Sie zusätzliche Berechtigungen hinzu, die möglicherweise für die Ausführung der Aufgaben erforderlich sind. Manche Automatisierungsaktionen basieren z. B. auf AWS CloudFormation -Stacks. Aus diesem Grund sind die Berechtigungen `cloudformation:CreateStack`, `cloudformation:DescribeStacks` und `cloudformation:DeleteStack` erforderlich.
Als weiteres Beispiel benötigt das Automation-Runbook `AWS-CopySnapshot` Berechtigungen zum Erstellen eines Amazon Elastic Block Store (Amazon EBS)-Snapshots. Daher benötigt die Servicerolle die Berechtigung `ec2:CreateSnapshot`.
Informationen zu den Rollenberechtigungen, die von Automation-Runbooks benötigt werden, finden Sie in den Runbook-Beschreibungen in der [Referenz zum AWS Systems Manager -Automation-Runbook](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-runbook-reference.html).
Speichern Sie die Datei erneut, nachdem Sie alle erforderlichen Änderungen vorgenommen haben.
## Aufgabe 2: Erstellen und verifizieren Sie eine benutzerdefinierte Servicerolle für Wartungsfenster mithilfe der AWS CLI
Die Richtlinie, die Sie in der vorherigen Aufgabe erstellt haben, ist an die Wartungsfenster-Servicerolle angehängt, die Sie in dieser Aufgabe erstellen. Wenn Benutzer eine Wartungsfenster-Aufgabe registrieren, geben sie diese IAM-Rolle als Teil der Aufgabenkonfiguration an. Die Berechtigungen in dieser Rolle ermöglichen es Systems Manager, Wartungsfenster-Aufgaben in Ihrem Namen auszuführen.
**Wichtig**
Bisher bot Ihnen die Systems Manager Manager-Konsole die Möglichkeit, die AWS verwaltete, mit dem IAM-Dienst verknüpfte Rolle auszuwählen`AWSServiceRoleForAmazonSSM`, die Sie als Wartungsrolle für Ihre Aufgaben verwenden möchten. Die Verwendung dieser Rolle und der zugehörigen Richtlinie, `AmazonSSMServiceRolePolicy`, für Wartungsfenster-Aufgaben wird nicht mehr empfohlen. Wenn Sie diese Rolle jetzt für Wartungsfenster-Aufgaben verwenden, empfehlen wir Ihnen, sie nicht mehr zu verwenden. Erstellen Sie stattdessen Ihre eigene IAM-Rolle, die die Kommunikation zwischen Systems Manager und anderen ermöglicht, AWS-Services wenn Ihre Wartungsfensteraufgaben ausgeführt werden.
In dieser Aufgabe führen Sie CLI-Befehle aus, um Ihre Windows-Wartungsservicerolle zu erstellen, und fügen dabei den Richtlinieninhalt aus den von Ihnen erstellten JSON-Dateien hinzu.
**Erstellen Sie eine benutzerdefinierte Servicerolle für Wartungsfenster mithilfe des AWS CLI**
1. Öffnen Sie das AWS CLI und führen Sie den folgenden Befehl in dem Verzeichnis aus, in dem Sie `mw-role-custom-policy.json` und platziert haben`mw-role-trust-policy.json`. Der Befehl erstellt eine Wartungsfenster-Servicerolle namens `my-maintenance-window-role` und fügt ihr die *Vertrauensrichtlinie* hinzu.
------
#### [ Linux & macOS ]
```
aws iam create-role \
--role-name "my-maintenance-window-role" \
--assume-role-policy-document file://mw-role-trust-policy.json
```
------
#### [ Windows ]
```
aws iam create-role ^
--role-name "my-maintenance-window-role" ^
--assume-role-policy-document file://mw-role-trust-policy.json
```
------
Die vom System zurückgegebenen Informationen ähneln den Folgenden.
```
{
"Role": {
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
}
}
]
},
"RoleId": "AROAIIZKPBKS2LEXAMPLE",
"CreateDate": "2024-08-19T03:40:17.373Z",
"RoleName": "my-maintenance-window-role",
"Path": "/",
"Arn": "arn:aws:iam::123456789012:role/my-maintenance-window-role"
}
}
```
**Anmerkung**
Notieren Sie sich die Werte für `RoleName` und `Arn`. Sie brauchen diese Informationen im nächsten Befehl.
1. Führen Sie den folgenden Befehl aus, um der Rolle die *vom Kunden verwaltete Richtlinie* anzufügen. Ersetzen Sie den *account-id* Platzhalter durch Ihre eigene ID AWS-Konto
------
#### [ Linux & macOS ]
```
aws iam attach-role-policy \
--role-name "my-maintenance-window-role" \
--policy-arn "arn:aws:iam::account-id:policy/mw-role-custom-policy.json"
```
------
#### [ Windows ]
```
aws iam attach-role-policy ^
--role-name "my-maintenance-window-role" ^
--policy-arn "arn:aws:iam::account-id:policy/mw-role-custom-policy.json"
```
------
1. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob Ihre Rolle erstellt wurde und ob die Vertrauensrichtlinie angefügt wurde.
```
aws iam get-role --role-name my-maintenance-window-role
```
Die vom System zurückgegebenen Informationen ähneln den Folgenden:
```
{
"Role": {
"Path": "/",
"RoleName": "my-maintenance-window-role",
"RoleId": "AROA123456789EXAMPLE",
"Arn": "arn:aws:iam::123456789012:role/my-maintenance-window-role",
"CreateDate": "2024-08-19T14:13:32+00:00",
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
},
"MaxSessionDuration": 3600,
"RoleLastUsed": {
"LastUsedDate": "2024-08-19T14:30:44+00:00",
"Region": "us-east-2"
}
}
}
```
1. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die vom Kunden verwaltete Richtlinie der Rolle angefügt wurde.
```
aws iam list-attached-role-policies --role-name my-maintenance-window-role
```
Die vom System zurückgegebenen Informationen ähneln den Folgenden:
```
{
"AttachedPolicies": [
{
"PolicyName": "mw-role-custom-policy",
"PolicyArn": "arn:aws:iam::123456789012:policy/mw-role-custom-policy"
}
]
}
```
## Aufgabe 3: Erteilen Sie bestimmten Benutzern die Erlaubnis, Aufgaben im Wartungsfenster zu registrieren. Verwenden Sie dazu den AWS CLI
Wenn Sie Benutzern Berechtigungen für den Zugriff auf die Servicerolle des benutzerdefinierten Wartungsfensters erteilen, können sie sie mit ihren Wartungsfenstern verwenden. Dies gilt zusätzlich zu den Berechtigungen, die Sie ihnen bereits zur Arbeit mit den Systems-Manager-API-Befehlen für das Tool Maintenance Windows erteilt haben. Diese IAM-Rolle vermittelt, dass Berechtigungen zum Ausführen einer Wartungsfenster-Aufgabe erforderlich sind. Infolgedessen kann ein Benutzer einem Wartungsfenster mithilfe Ihrer benutzerdefinierten Servicerolle keine Aufgaben registrieren, ohne diese IAM-Berechtigungen übergeben zu können.
Wenn Sie eine Aufgabe bei einem Wartungsfenster registrieren, geben Sie eine Servicerolle an, um die eigentlichen Aufgabenvorgänge auszuführen. Hierbei handelt es sich um die Rolle, die vom Service angenommen wird, wenn Aufgaben in Ihrem Namen ausgeführt werden. Um die Aufgabe selbst zu registrieren, weisen Sie zuvor die IAM-`PassRole`-Richtlinie einer IAM-Entität (z. B. einem Benutzer oder einer Gruppe) zu. Dadurch kann die IAM Entität als Teil der Registrierung dieser Aufgaben im Wartungsfenster die Rolle angeben, die beim Ausführen der Aufgaben verwendet werden soll. Weitere Informationen finden Sie unter [Erteilen von Berechtigungen, mit denen ein Benutzer eine Rolle an einen AWS-Serviceübergeben kann](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) im *IAM-Benutzerhandbuch*.
**Um Berechtigungen für Benutzer zu konfigurieren, die Wartungsfensteraufgaben registrieren dürfen, verwenden Sie AWS CLI**
1. Kopieren Sie die folgende AWS Identity and Access Management (IAM-) Richtlinie, fügen Sie sie in einen Texteditor ein und speichern Sie sie mit dem folgenden Namen und der folgenden Dateierweiterung:`mw-passrole-policy.json`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/my-maintenance-window-role"
},
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::111122223333:role/"
},
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/ssm.amazonaws.com/"
}
]
}
```
------
*my-maintenance-window-role*Ersetzen Sie es durch den Namen der benutzerdefinierten Rolle im Wartungsfenster, die Sie zuvor erstellt haben.
*account-id*Ersetzen Sie durch die ID Ihres AWS-Konto. Wenn Sie diese Berechtigung für die Ressource `arn:aws:iam::account-id:role/` hinzufügen, können Benutzer in der Gruppe Kundenrollen in der Konsole anzeigen und auswählen, wenn sie eine Wartungsfensteraufgabe erstellen. Wenn Sie diese Berechtigung für `arn:aws:iam::account-id:role/aws-service-role/ssm.amazonaws.com/` hinzufügen, können Benutzer in der Gruppe die mit dem Systems Manager-Service verknüpfte Rolle in der Konsole auswählen, wenn sie eine Wartungsfensteraufgabe erstellen.
1. Öffne das AWS CLI.
1. Je nachdem, ob Sie die Berechtigung einer IAM-Entität (Benutzer oder Gruppe) zuweisen, führen Sie einen der folgenden Befehle aus.
+ **Für eine IAM-Entität:**
------
#### [ Linux & macOS ]
```
aws iam put-user-policy \
--user-name "user-name" \
--policy-name "policy-name" \
--policy-document file://path-to-document
```
------
#### [ Windows ]
```
aws iam put-user-policy ^
--user-name "user-name" ^
--policy-name "policy-name" ^
--policy-document file://path-to-document
```
------
Geben Sie für *user-name* den Benutzer an, der Wartungsfenstern Aufgaben zuweist. Geben Sie für den Namen an*policy-name*, den Sie zur Identifizierung der Richtlinie verwenden möchten, z. B. **my-iam-passrole-policy** Geben Sie als *path-to-document* den Pfad zur in Schritt 1 gespeicherten Datei an. Beispiel: `file://C:\Temp\mw-passrole-policy.json`
**Anmerkung**
Um einem Benutzer Zugriff zum Registrieren von Aufgaben für Wartungsfenster über die Systems-Manager-Konsole zu gewähren, müssen Sie auch die Richtlinie `AmazonSSMFullAccess` Ihrem Benutzer zuweisen (oder eine IAM-Richtlinie, die eine kleinere Gruppe von Zugriffsberechtigungen für Systems Manager bereitstellt, die die Aufgaben im Wartungsfenster abdeckt). Führen Sie den folgenden Befehl aus, um Ihrem Benutzer die Richtlinie `AmazonSSMFullAccess` zuzuweisen.
```
aws iam attach-user-policy \
--policy-arn "arn:aws:iam::aws:policy/AmazonSSMFullAccess" \
--user-name "user-name"
```
```
aws iam attach-user-policy ^
--policy-arn "arn:aws:iam::aws:policy/AmazonSSMFullAccess" ^
--user-name "user-name"
```
+ **Für eine IAM-Gruppe**:
------
#### [ Linux & macOS ]
```
aws iam put-group-policy \
--group-name "group-name" \
--policy-name "policy-name" \
--policy-document file://path-to-document
```
------
#### [ Windows ]
```
aws iam put-group-policy ^
--group-name "group-name" ^
--policy-name "policy-name" ^
--policy-document file://path-to-document
```
------
Geben Sie für *group-name* die Gruppe an, deren Mitglieder Wartungsfenstern Aufgaben zuweisen. Geben Sie für den Namen an*policy-name*, den Sie zur Identifizierung der Richtlinie verwenden möchten, z. **my-iam-passrole-policy** B. Geben Sie als *path-to-document* den Pfad zur in Schritt 1 gespeicherten Datei an. Zum Beispiel: `file://C:\Temp\mw-passrole-policy.json`
**Anmerkung**
Um Mitgliedern einer Gruppe Zugriff zum Registrieren von Aufgaben für Wartungsfenster über die Systems Manager-Konsole zu gewähren, müssen Sie die Richtlinie `AmazonSSMFullAccess` auch Ihrer Gruppe zuweisen. Führen Sie den folgenden Befehl aus, um Ihrer Gruppe diese Richtlinie zuzuweisen.
```
aws iam attach-group-policy \
--policy-arn "arn:aws:iam::aws:policy/AmazonSSMFullAccess" \
--group-name "group-name"
```
```
aws iam attach-group-policy ^
--policy-arn "arn:aws:iam::aws:policy/AmazonSSMFullAccess" ^
--group-name "group-name"
```
1. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Richtlinie der Gruppe zugewiesen wurde.
------
#### [ Linux & macOS ]
```
aws iam list-group-policies \
--group-name "group-name"
```
------
#### [ Windows ]
```
aws iam list-group-policies ^
--group-name "group-name"
```
------
## Aufgabe 4: Verhindern Sie, dass bestimmte Benutzer Aufgaben im Wartungsfenster registrieren, indem Sie AWS CLI
Sie können Benutzern in Ihrem Umfeld, die Sie nicht möchten AWS-Konto , die `ssm:RegisterTaskWithMaintenanceWindow` Erlaubnis verweigern, Aufgaben in Wartungsfenstern zu registrieren. Dies bietet eine zusätzliche Verhinderungsebene für Benutzer, die keine Wartungsfenster-Aufgaben registrieren sollten.
Je nachdem, ob Sie die `ssm:RegisterTaskWithMaintenanceWindow`-Berechtigung für einen einzelnen Benutzer oder eine Gruppe verweigern, verwenden Sie eines der folgenden Verfahren, um zu verhindern, dass Benutzer Aufgaben mit einem Wartungsfenster registrieren können.
**Um Berechtigungen für Benutzer zu konfigurieren, die keine Wartungsfensteraufgaben registrieren dürfen, verwenden Sie den AWS CLI**
1. Kopieren Sie die folgende IAM-Richtlinie und fügen Sie sie in einen Text-Editor ein und speichern Sie sie mit dem folgenden Namen und Dateierweiterung: **deny-mw-tasks-policy.json**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ssm:RegisterTaskWithMaintenanceWindow",
"Resource": "*"
}
]
}
```
------
1. Öffnen Sie das AWS CLI.
1. Je nachdem, ob Sie die Berechtigung einer IAM-Entität (Benutzer oder Gruppe) zuweisen, führen Sie einen der folgenden Befehle aus.
+ **Für einen Benutzer:**
------
#### [ Linux & macOS ]
```
aws iam put-user-policy \
--user-name "user-name" \
--policy-name "policy-name" \
--policy-document file://path-to-document
```
------
#### [ Windows ]
```
aws iam put-user-policy ^
--user-name "user-name" ^
--policy-name "policy-name" ^
--policy-document file://path-to-document
```
------
Geben Sie für den Benutzer an*user-name*, der verhindern soll, dass Wartungsfenstern Aufgaben zugewiesen werden. Geben Sie für den Namen an*policy-name*, den Sie zur Identifizierung der Richtlinie verwenden möchten, z. B. **my-deny-mw-tasks-policy** Geben Sie als *path-to-document* den Pfad zur in Schritt 1 gespeicherten Datei an. Beispiel: `file://C:\Temp\deny-mw-tasks-policy.json`
+ **Für eine Gruppe:**
------
#### [ Linux & macOS ]
```
aws iam put-group-policy \
--group-name "group-name" \
--policy-name "policy-name" \
--policy-document file://path-to-document
```
------
#### [ Windows ]
```
aws iam put-group-policy ^
--group-name "group-name" ^
--policy-name "policy-name" ^
--policy-document file://path-to-document
```
------
Geben Sie für die Gruppe an*group-name*, die daran gehindert werden soll, Wartungsfenstern Aufgaben zuzuweisen. Geben Sie für den Namen an*policy-name*, den Sie zur Identifizierung der Richtlinie verwenden möchten, z. B. **my-deny-mw-tasks-policy** Geben Sie als *path-to-document* den Pfad zur in Schritt 1 gespeicherten Datei an. Zum Beispiel: `file://C:\Temp\deny-mw-tasks-policy.json`
1. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Richtlinie der Gruppe zugewiesen wurde.
------
#### [ Linux & macOS ]
```
aws iam list-group-policies \
--group-name "group-name"
```
------
#### [ Windows ]
```
aws iam list-group-policies ^
--group-name "group-name"
```
------