Créez des rôles de service pour l'automatisation en utilisant CloudFormation - AWS Systems Manager
Création du rôle de service via CloudFormationCopier les informations de rôle pour Automation

AWS Systems ManagerChange Managern'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez des rôles de service pour l'automatisation en utilisant CloudFormation

Vous pouvez créer un rôle de service pour Automation, un outil dans AWS Systems Manager, à partir d'un AWS CloudFormation modèle. Après avoir créé le rôle de service, vous pouvez spécifier le rôle de service dans les runbooks à l'aide du paramètre AutomationAssumeRole.

Création du rôle de service via CloudFormation

Utilisez la procédure suivante pour créer le rôle AWS Identity and Access Management (IAM) requis pour Systems Manager Automation à l'aide CloudFormation de.

Pour créer le rôle IAM requis

  1. Téléchargez et décompressez le fichier AWS-SystemsManager-AutomationServiceRole.zip. Ce fichier inclut le fichier AWS-SystemsManager-AutomationServiceRole.yaml CloudFormation modèle.

  2. Ouvrez la CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation.

  3. Sélectionnez Create Stack (Créer une pile).

  4. Dans la section Spécifier un modèle, sélectionnez Charger un modèle de fichier.

  5. Choisissez Parcourir, puis choisissez le fichier AWS-SystemsManager-AutomationServiceRole.yaml CloudFormation modèle.

  6. Sélectionnez Suivant.

  7. Dans la section Spécifier les détails, entrez un nom dans le champ Nom de la pile.

  8. Sur la page Configurer les options de pile, vous n'avez pas besoin d'effectuer de sélections. Choisissez Suivant.

  9. Sur la page de révision, faites défiler la page vers le bas et choisissez l'option Je reconnais que cela CloudFormation pourrait créer des ressources IAM.

  10. Choisissez Créer.

CloudFormation affiche l'état de CREATE_IN_PROGRESS pendant environ trois minutes. Le statut devient CREATE_COMPLETE une fois que la pile a été créée et que vos rôles sont prêts à être utilisés.

Important

Si vous exécutez un flux de travail d'automatisation qui appelle d'autres services à l'aide d'un rôle de service AWS Identity and Access Management (IAM), le rôle de service doit être configuré avec l'autorisation d'appeler ces services. Cette exigence s'applique à tous les runbooks AWS Automation (AWS-*runbooks) tels que, et AWS-RestartEC2Instance runbooks AWS-ConfigureS3BucketLoggingAWS-CreateDynamoDBBackup, pour n'en nommer que quelques-uns. Cette exigence s'applique également à tous les runbooks d'automatisation personnalisés que vous créez et qui invoquent d'autres services Services AWS en utilisant des actions qui appellent d'autres services. Par exemple, si vous utilisez les actions aws:executeAwsApi, aws:createStack ou aws:copyImage, vous devez configurer le rôle de service avec l'autorisation d'appeler ces services. Vous pouvez octroyer des autorisations à d'autres Services AWS en ajoutant une politique IAM en ligne au rôle. Pour de plus amples informations, veuillez consulter (Facultatif) Ajoutez une politique d'automatisation en ligne ou une politique gérée par le client pour invoquer d'autres Services AWS.

Copier les informations de rôle pour Automation

Utilisez la procédure suivante pour copier les informations relatives au rôle de service d'automatisation depuis la CloudFormation console. Vous devez spécifier ces rôles lorsque vous utilisez un runbook.

Note

Vous n'avez pas besoin de copier les informations du rôle en utilisant cette procédure si vous exécutez les runbooks AWS-UpdateLinuxAmi ou AWS-UpdateWindowsAmi. Ces runbooks possèdent déjà les rôles requis spécifiés comme valeurs par défaut. Ces rôles spécifiés dans ces runbooks utilisant des politiques gérées IAM.

Pour copier les noms de rôle

  1. Ouvrez la CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation.

  2. Sélectionnez le Nom de la pile d'automatisation que vous avez créé lors de la procédure précédente.

  3. Sélectionnez l'onglet Ressources.

  4. Choisissez le lien Physical ID pour AutomationServiceRole. La console IAM ouvre un récapitulatif du rôle de service Automation.

  5. Copiez l'Amazon Resource Name (ARN) en regard de l'ARN de rôle. L'ARN est similaire à ce qui suit : arn:aws:iam::12345678:role/AutomationServiceRole

  6. Collez l'ARN dans un fichier texte à utiliser ultérieurement.

La configuration du rôle de service pour Automation est terminée. Vous pouvez désormais utiliser l'ARN du rôle de service Automation dans vos runbooks.