AWSSupport-ResetLinuxUserPassword - AWS Systems Manager Referencia del manual de automatización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSSupport-ResetLinuxUserPassword

Descripción

El manual de procedimientos AWSSupport-ResetLinuxUserPassword le ayuda a restablecer la contraseña de un usuario del sistema operativo (SO) local. Este manual es especialmente útil para los usuarios que necesitan acceder a sus instancias de Amazon Elastic Compute Cloud (Amazon EC2) mediante la consola en serie. El runbook crea una EC2 instancia temporal de Amazon en tu cuenta Cuenta de AWS y un rol AWS Identity and Access Management (de IAM) con permisos para recuperar un valor AWS Secrets Manager secreto que contiene la contraseña.

El runbook detiene la EC2 instancia de Amazon de destino, separa el volumen raíz de Amazon Elastic Block Store (Amazon EBS) y lo adjunta a la instancia temporal de Amazon. EC2 Con Run Command, se ejecuta un script en la instancia temporal para establecer la contraseña del usuario del sistema operativo que especifique. A continuación, el volumen raíz de Amazon EBS se vuelve a adjuntar a la instancia de destino. El manual de procedimientos también ofrece una opción para crear una instantánea del volumen raíz al comienzo de la automatización.

Antes de empezar

Cree un secreto de Secrets Manager con el valor de la contraseña que desee asignar al usuario de su sistema operativo. El valor debe estar en texto sin formato. Para obtener más información, consulte Crear un secreto de AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager .

Consideraciones

  • Recomendamos hacer una copia de seguridad de la instancia antes de usar este manual de procedimientos. Considere la posibilidad de establecer el valor del parámetro CreateSnapshot como Yes.

  • Para cambiar la contraseña del usuario local, es necesario que el manual de procedimientos detenga la instancia. Los datos guardados en la memoria o en el almacén de instancias se perderán cuando se detenga una instancia. Además, se liberarán todas IPv4 las direcciones públicas que se asignen automáticamente. Para obtener más información sobre lo que ocurre cuando detienes una instancia, consulta Detener e iniciar tu instancia en la Guía del EC2 usuario de Amazon.

  • Si los volúmenes de Amazon EBS adjuntos a su EC2 instancia de Amazon de destino están cifrados con una clave gestionada por el cliente AWS Key Management Service (AWS KMS), asegúrese de que la AWS KMS clave no lo esté deleted disabled o la instancia no podrá iniciarse.

Ejecuta esta automatización (consola)

Tipo de documento

Automatización

Propietario

Amazon

Plataformas

Linux

Parámetros

  • AutomationAssumeRole

    Tipo: cadena

    Descripción: (opcional) el Nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.

  • InstanceId

    Tipo: cadena

    Descripción: (Obligatorio) El ID de la instancia de Amazon EC2 Linux que contiene la contraseña de usuario del sistema operativo que desea restablecer.

  • LinuxUserName

    Tipo: cadena

    Predeterminado: ec2-user

    Descripción: (opcional) la cuenta de usuario del sistema operativo cuya contraseña desea restablecer.

  • SecretArn

    Tipo: cadena

    Descripción: (obligatorio) el ARN del secreto de Secrets Manager que contiene la nueva contraseña.

  • SecurityGroupId

    Tipo: cadena

    Descripción: (opcional) El ID del grupo de seguridad que se va a adjuntar a la EC2 instancia temporal de Amazon. Si no proporciona un valor para este parámetro, se usa el grupo de seguridad Amazon Virtual Private Cloud (Amazon VPC) predeterminado.

  • SubnetId

    Tipo: cadena

    Descripción: (opcional) El ID de la subred en la que quieres lanzar la instancia EC2 temporal de Amazon. De forma predeterminada, la automatización elige la misma subred que la instancia de destino. Si elige proporcionar una subred diferente, debe estar en la misma zona de disponibilidad que la instancia de destino y tener acceso a los puntos de enlace de Systems Manager.

  • CreateSnapshot

    Tipo: cadena

    Valores válidos: Yes | No

    Valor predeterminado: Yes

    Descripción: (opcional) Determina si se crea una instantánea del volumen raíz de la EC2 instancia de Amazon de destino antes de que se ejecute la automatización.

  • StopConsent

    Tipo: cadena

    Valores válidos: Yes | No

    Valor predeterminado: No

    Descripción: Introduce este campo Yes para confirmar que tu EC2 instancia de Amazon de destino se detendrá durante esta automatización. Cuando se detiene la EC2 instancia de Amazon, se pierden todos los datos almacenados en la memoria o en los volúmenes del almacén de instancias y se libera la IPv4 dirección pública automática. Para obtener más información, consulta Detener e iniciar tu instancia en la Guía del EC2 usuario de Amazon.

Permisos de IAM necesarios

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

  • ssm:DescribeInstanceInformation

  • ssm:ListTagsForResource

  • ssm:SendCommand

  • ec2:AttachVolume

  • ec2:CreateSnapshot

  • ec2:CreateSnapshots

  • ec2:CreateVolume

  • ec2:DescribeImages

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeSnapshotAttribute

  • ec2:DescribeSnapshots

  • ec2:DescribeSnapshotTierStatus

  • ec2:DescribeVolumes

  • ec2:DescribeVolumeStatus

  • ec2:DetachVolume

  • ec2:RunInstances

  • ec2:StartInstances

  • ec2:StopInstances

  • ec2:TerminateInstances

  • cloudformation:CreateStack

  • cloudformation:DeleteStack

  • cloudformation:DescribeStackResource

  • cloudformation:DescribeStacks

  • cloudformation:ListStacks

  • logs:CreateLogDelivery

  • logs:CreateLogGroup

  • logs:DeleteLogDelivery

  • logs:DeleteLogGroup

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:PutLogEvents

Pasos de documentos

  1. aws:branch— Se ramifica en función de si has dado tu consentimiento para detener la EC2 instancia de Amazon de destino.

  2. aws:assertAwsResourceProperty— Garantiza que el estado de la EC2 instancia de Amazon esté en un stopped estado running o. De lo contrario, la automatización finaliza.

  3. aws:executeAwsApi— Obtiene las propiedades de la EC2 instancia de Amazon.

  4. aws:executeAwsApi— Obtiene las propiedades del volumen raíz.

  5. aws:branch— Ramifica la automatización en función de si se proporcionó un ID de subred para la EC2 instancia temporal de Amazon.

  6. aws:assertAwsResourceProperty— Garantiza que la subred que especifique en el SubnetId parámetro esté en la misma zona de disponibilidad que la EC2 instancia de Amazon de destino.

  7. aws:assertAwsResourceProperty— Garantiza que el volumen raíz de la EC2 instancia de Amazon de destino sea un volumen de Amazon EBS.

  8. aws:assertAwsResourceProperty— Garantiza que la arquitectura de la EC2 instancia de Amazon sea arm64 ox86_64.

  9. aws:assertAwsResourceProperty— Garantiza que el comportamiento de cierre de la EC2 instancia de Amazon sea stop o noterminate.

  10. aws:branch— Garantiza que la EC2 instancia de Amazon no sea una instancia puntual. De lo contrario, la automatización finaliza.

  11. aws:executeScript— Garantiza que la EC2 instancia de Amazon no forme parte de un grupo de escalado automático. Si la instancia forma parte de un grupo de autoescalado, la automatización confirma que la EC2 instancia de Amazon se encuentra en un estado de Standby ciclo de vida.

  12. aws:createStack— Crea una EC2 instancia temporal de Amazon que se utiliza para restablecer la contraseña del usuario del sistema operativo que especifique.

  13. aws:waitForAwsResourceProperty— Espera a que se ejecute la EC2 instancia temporal de Amazon recién lanzada.

  14. aws:executeAwsApi— Obtiene el ID de la EC2 instancia temporal de Amazon.

  15. aws:waitForAwsResourceProperty— Espera a que la EC2 instancia temporal de Amazon muestre que está gestionada por Systems Manager.

  16. aws:changeInstanceState— Detiene la EC2 instancia de Amazon de destino.

  17. aws:changeInstanceState— Obliga a la EC2 instancia de Amazon de destino a detenerse en caso de que se quede atascada en un estado de parada.

  18. aws:branch— Ramifica la automatización en función de si se solicitó una instantánea del volumen raíz de la EC2 instancia de Amazon de destino.

  19. aws:executeAwsApi— Crea una instantánea del volumen raíz de Amazon EBS de la EC2 instancia de Amazon de destino.

  20. aws:waitForAwsResourceProperty— Espera a que la instantánea esté en un completed estado.

  21. aws:executeAwsApi— Separa el volumen raíz de Amazon EBS de la instancia de Amazon EC2 de destino.

  22. aws:waitForAwsResourceProperty— Espera a que el volumen raíz de Amazon EBS se separe de la instancia de Amazon EC2 de destino.

  23. aws:executeAwsApi— Adjunta el volumen raíz de Amazon EBS a la instancia temporal de Amazon EC2 .

  24. aws:waitForAwsResourceProperty— Espera a que el volumen raíz de Amazon EBS se adjunte a la instancia temporal de Amazon EC2 .

  25. aws:runCommand— Restablece la contraseña del usuario de destino mediante la ejecución de un script de shell mediante Run Command en la EC2 instancia temporal de Amazon.

  26. aws:executeAwsApi— Separa el volumen raíz de Amazon EBS de la instancia temporal de Amazon EC2 .

  27. aws:waitForAwsResourceProperty— Espera a que el volumen raíz de Amazon EBS se separe de la instancia temporal de Amazon EC2 .

  28. aws:executeAwsApi— Separa el volumen raíz de Amazon EBS de la EC2 instancia temporal de Amazon tras un error.

  29. aws:waitForAwsResourceProperty— Espera a que el volumen raíz de Amazon EBS se separe de la EC2 instancia temporal de Amazon tras un error.

  30. aws:branch— Ramifica la automatización en función de si se ha solicitado una instantánea del volumen raíz para determinar la ruta de recuperación en caso de error.

  31. aws:executeAwsApi— Vuelve a adjuntar el volumen raíz de Amazon EBS a la instancia de Amazon de destino. EC2

  32. aws:waitForAwsResourceProperty— Espera a que el volumen raíz de Amazon EBS se adjunte a la instancia de Amazon EC2 .

  33. aws:executeAwsApi— Crea un nuevo volumen de Amazon EBS a partir de la instantánea del volumen raíz de la EC2 instancia de Amazon de destino.

  34. aws:waitForAwsResourceProperty— Espera hasta que el nuevo volumen de Amazon EBS esté en un available estado.

  35. aws:executeAwsApi— Adjunta el nuevo volumen de Amazon EBS a la instancia de destino como volumen raíz.

  36. aws:waitForAwsResourceProperty— Espera a que el volumen de Amazon EBS esté en un attached estado.

  37. aws:executeAwsApi— Describe los eventos de la AWS CloudFormation pila si los runbooks no pueden crear o actualizar la pila. AWS CloudFormation

  38. aws:branch— Ramifica la automatización en función del estado anterior de la EC2 instancia de Amazon. Si el estado era running, se inicia la instancia. Si estaba en un estado stopped, la automatización continúa.

  39. aws:changeInstanceState— Inicia la EC2 instancia de Amazon si es necesario.

  40. aws:waitForAwsResourceProperty— Espera a que la AWS CloudFormation pila esté en estado terminal antes de eliminarla.

  41. aws:executeAwsApi— Elimina la AWS CloudFormation pila, incluida la EC2 instancia temporal de Amazon.