`AWSSupport-GrantPermissionsToIAMUser`

Descripción

Este manual de procedimientos concede los permisos especificados a un grupo de IAM (nuevo o existente) y añade el usuario de IAM existente. Las políticas que puede elegir: Billing o Support. Para habilitar el acceso de facturación para IAM, recuerde activar también el acceso del usuario de IAM y del usuario federado a las páginas de facturación y administración de costos.

importante

Si proporciona un grupo de IAM existente, todos los usuarios actuales de IAM en el grupo de reciben los nuevos permisos.

Ejecuta esta automatización (consola)

Tipo de documento

Automatización

Propietario

Amazon

Plataformas

Linux, macOS, Windows

Parámetros

AutomationAssumeRole

Tipo: cadena

Descripción: (opcional) el Nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.
IAMGroupNombre

Tipo: cadena

Predeterminado: ExampleSupportAndBillingGroup

Descripción: (obligatorio) puede ser un grupo nuevo o existente. Debe cumplir con Límites de nombres de entidades de IAM.
IAMUserNombre

Tipo: cadena

Predeterminado: ExampleUser

Descripción: (obligatorio) debe ser un usuario existente.
LambdaAssumeRole

Tipo: cadena

Descripción: (opcional) el ARN del rol asumido por Lambda.
Permisos

Tipo: cadena

Valores válidos: SupportFullAccess | BillingFullAccess | SupportAndBillingFullAccess

Predeterminado: SupportAndBillingFullAccess

Descripción: (obligatorio) elija una de estas opciones: SupportFullAccess concede acceso completo al centro de soporte | BillingFullAccess concede acceso completo al panel de facturación | SupportAndBillingFullAccess concede acceso completo tanto al centro de soporte como al panel de facturación. Más información sobre las políticas en Detalles del documento.

Permisos de IAM necesarios

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

Los permisos necesarios dependen de cómo se ejecute AWSSupport-GrantPermissionsToIAMUser.

En ejecución como usuario o rol que ha iniciado sesión actualmente

Se recomienda tener asociada la política administrada AmazonSSMAutomationRole de Amazon y los siguientes permisos adicionales para poder crear la función de Lambda y el rol de IAM que pasar a Lambda:


{
                    "Version": "2012-10-17",
                    "Statement": [
                        {
                            "Action": [
                                "lambda:InvokeFunction",
                                "lambda:CreateFunction",
                                "lambda:DeleteFunction",
                                "lambda:GetFunction"
                            ],
                            "Resource": "arn:aws:lambda:*:ACCOUNTID:function:AWSSupport-*",
                            "Effect": "Allow"
                        },
                        {
                            "Effect" : "Allow",
                            "Action" : [
                                "iam:CreateGroup",
                                "iam:AddUserToGroup",
                                "iam:ListAttachedGroupPolicies",
                                "iam:GetGroup",
                                "iam:GetUser"
                            ],
                            "Resource" : [
                                "arn:aws:iam::*:user/*",
                                "arn:aws:iam::*:group/*"
                            ]
                        },
                        {
                            "Effect" : "Allow",
                            "Action" : [
                                "iam:AttachGroupPolicy"
                            ],
                            "Resource": "*",
                            "Condition": {
                                "ArnEquals": {
                                    "iam:PolicyArn": [
                                        "arn:aws:iam::aws:policy/job-function/Billing",
                                        "arn:aws:iam::aws:policy/AWSSupportAccess"
                                    ]
                                }
                            }
                        },
                        {
                            "Effect" : "Allow",
                            "Action" : [
                                "iam:ListAccountAliases",
                                "iam:GetAccountSummary"
                            ],
                            "Resource" : "*"
                        }
                    ]
                }

Uso AutomationAssumeRole y LambdaAssumeRole

El usuario debe tener los StartAutomationExecution permisos ssm: en el runbook e iam: PassRole en las funciones de IAM transferidas como y. AutomationAssumeRoleLambdaAssumeRole A continuación se incluyen los permisos que necesita cada rol de IAM:


AutomationAssumeRole

                    {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Action": [
                                    "lambda:InvokeFunction",
                                    "lambda:CreateFunction",
                                    "lambda:DeleteFunction",
                                    "lambda:GetFunction"
                                ],
                                "Resource": "arn:aws:lambda:*:ACCOUNTID:function:AWSSupport-*",
                                "Effect": "Allow"
                            }
                        ]
                    }


LambdaAssumeRole

                {
                    "Version": "2012-10-17",
                    "Statement": [
                        {
                            "Effect" : "Allow",
                            "Action" : [
                                "iam:CreateGroup",
                                "iam:AddUserToGroup",
                                "iam:ListAttachedGroupPolicies",
                                "iam:GetGroup",
                                "iam:GetUser"
                            ],
                            "Resource" : [
                                "arn:aws:iam::*:user/*",
                                "arn:aws:iam::*:group/*"
                            ]
                        },
                        {
                            "Effect" : "Allow",
                            "Action" : [
                                "iam:AttachGroupPolicy"
                            ],
                            "Resource": "*",
                            "Condition": {
                                "ArnEquals": {
                                    "iam:PolicyArn": [
                                        "arn:aws:iam::aws:policy/job-function/Billing",
                                        "arn:aws:iam::aws:policy/AWSSupportAccess"
                                    ]
                                }
                            }
                        },
                        {
                            "Effect" : "Allow",
                            "Action" : [
                                "iam:ListAccountAliases",
                                "iam:GetAccountSummary"
                            ],
                            "Resource" : "*"
                        }
                    ]
                }

Pasos de documentos

aws:createStack- Ejecute la AWS CloudFormation plantilla para crear una función Lambda.
aws:invokeLambdaFunction: para configurar permisos de IAM para Lambda.
aws:deleteStack- Eliminar CloudFormation plantilla.

Salidas

configureIAM.Payload

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

AWSConfigRemediation-EnableAccountAccessAnalyzer

AWSConfigRemediation-RemoveUserPolicies