Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisez AMS SSP pour provisionner AWS Systems Manager l'automatisation dans votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités AWS Systems Manager d'automatisation directement dans votre compte géré AMS. AWS Systems Manager L'automatisation simplifie les tâches courantes de maintenance et de déploiement des instances Amazon Elastic Compute Cloud et d'autres AWS ressources à l'aide de runbooks, d'actions et de quotas de service. Il vous permet de créer, d'exécuter et de surveiller des automatisations à grande échelle. Un Systems Manager Automation est un type de document Systems Manager qui définit les actions que Systems Manager exécute sur vos instances gérées. Un runbook que vous utilisez pour effectuer des tâches de maintenance et de déploiement courantes, telles que l'exécution de commandes ou de scripts d'automatisation au sein de vos instances gérées. Systems Manager inclut des fonctionnalités qui vous aident à cibler de grands groupes d'instances à l'aide des balises Amazon Elastic Compute Cloud et des contrôles de vélocité qui vous aident à déployer les modifications conformément aux limites que vous définissez. Les runbooks sont écrits en utilisant la notation JavaScript d'objet (JSON) ou YAML. Toutefois, l'outil Document Builder de la console Systems Manager Automation permet de créer un runbook sans avoir à utiliser JSON ou YAML. Vous pouvez également utiliser les runbooks fournis par Systems Manager avec des étapes prédéfinies adaptées à vos besoins. Pour en savoir plus, consultez la section Utilisation des runbooks dans AWS Systems Manager la documentation.
Note
Bien que Systems Manager Automation prenne en charge 20 types d'actions pouvant être utilisés dans le runbook, vous pouvez utiliser un nombre limité d'actions lors de la création du runbook dans votre compte AMS Advanced. De même, un nombre limité de runbooks fournis par Systems Manager peuvent être utilisés soit directement, soit depuis votre propre runbook. Pour plus de détails, consultez les restrictions dans la FAQ suivante.
AWS Systems Manager FAQ sur l'automatisation dans AWS Managed Services
Questions et réponses courantes :
Q : Comment puis-je demander l'accès à Systems Manager Automation depuis mon compte AMS ?
Demandez l'accès à AWS Systems Manager l'automatisation en soumettant une RFC à l'adresse Management | AWS service | Self-provisioned Service | Ajouter un type de modification (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. customer_systemsmanager_automation_console_role Une fois configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
Q : Quelles sont les limites de l'utilisation de l' AWS Systems Manager automatisation dans mon compte AMS ?
Vous devez créer votre runbook, avec un ensemble limité d'actions prises en charge par Systems Manager à des fins d'automatisation, uniquement pour exécuter des and/or scripts de commandes dans vos instances gérées. Les actions qui s'offrent à vous ainsi que les restrictions éventuelles sont décrites ci-dessous.
| Action | Description | Limitation |
|---|---|---|
lois : assertAwsResource Propriété — |
Affirmer un état de AWS ressource ou un état d'événement |
EC2 Instances uniquement |
aws:aws:branche — |
Exécuter des étapes d'automatisation conditionnelles |
Aucune limitation |
AWS : CreateTags — |
Création de balises pour les AWS ressources |
Uniquement pour les runbooks d'automatisation SSM dont vous êtes l'auteur |
AWS : Exécuter l'automatisation — |
Exécuter une autre automatisation |
Uniquement le runbook d'automatisation que vous avez créé |
AWS : ExecuteScript — |
Exécuter un script |
Seul script qui n'effectue aucun appel d'API vers aucun service |
aws:pause — |
Suspendre une automatisation |
Aucune limitation |
AWS : Exécuter une commande — |
Exécuter une commande sur une instance gérée |
En utilisant uniquement le document fourni par System Manager - AWS- RunShellScript et AWS- RunPowerShellScript |
aws:sleep — |
Retarder une automatisation |
Aucune limitation |
lois : waitForAws ResourceProperty — |
Attendre sur une propriété AWS de ressource |
EC2 Instances uniquement |
Vous pouvez également choisir d'exécuter une commande ou un script directement avec les runbooks AWS RunShellScript et AWS fournis par Systems Manager RunPowerShellScript en utilisant la fonctionnalité « Run Command » depuis la console Systems Manager. Vous pouvez également imbriquer ces runbooks dans votre runbook, ce qui permet une validation préalable and/or supplémentaire ou toute logique d'automatisation complexe.
Le rôle respecte le principe du moindre privilège et fournit uniquement l'autorisation requise pour créer, exécuter et récupérer les détails d'exécution des runbooks destinés à exécuter des and/or scripts de commande dans vos instances gérées. Il ne fournit aucune autorisation pour les autres fonctionnalités fournies par le AWS Systems Manager service. Bien que cette fonctionnalité vous permette de créer des runbooks automatisés, l'exécution des runbooks ne peut pas être ciblée pour les ressources détenues par AMS.
Q : Quels sont les prérequis ou les dépendances pour utiliser AWS Systems Manager Automation dans mon compte AMS ?
Il n'y a aucune condition préalable ; toutefois, vous devez vous assurer que les contrôles de and/or conformité de vos processus internes sont respectés lors de la création de runbooks. Nous recommandons également de tester minutieusement les runbooks avant de les exécuter par rapport aux ressources de production.
Q : La politique Systems Manager peut-elle customer_systemsmanager_automation_policy être associée à d'autres rôles IAM ?
Non, contrairement aux autres services activés par l'auto-approvisionnement, cette politique ne peut être attribuée qu'au rôle par défaut provisionné. customer_systemsmanager_automation_console_role
Contrairement aux politiques des autres rôles SSPS, cette politique SSPS SSM ne peut pas être partagée avec d'autres rôles IAM personnalisés, car ce service AMS sert uniquement à exécuter des commandes ou des scripts d'automatisation au sein de vos instances gérées. Si ces autorisations étaient autorisées à être associées à d'autres rôles IAM personnalisés, éventuellement avec des autorisations sur d'autres services, la portée des actions autorisées pourrait s'étendre aux services gérés et potentiellement réduire le niveau de sécurité de votre compte.
Pour évaluer toute demande de modification (RFCs) par rapport à nos normes techniques AMS, contactez votre architecte cloud ou votre responsable de prestation de services respectif, consultez les revues de sécurité RFC.
Note
AWS Systems Manager vous permet d'utiliser des runbooks partagés avec votre compte. Nous vous recommandons de faire preuve de prudence et de faire preuve de diligence raisonnable lorsque vous utilisez des runbooks partagés et de vérifier le contenu pour comprendre comment command/scripts ils s'exécutent avant d'exécuter les runbooks. Pour plus de détails, reportez-vous à la section Meilleures pratiques pour les documents SSM partagés.
