Création d’un rôle de service personnalisé pour exporter des rapports de diagnostic vers S3 - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d’un rôle de service personnalisé pour exporter des rapports de diagnostic vers S3

Lorsque vous consultez des listes filtrées ou non filtrées de nœuds gérés pour votre organisation ou compte AWS dans la page Explorer les nœuds de Systems Manager, vous pouvez exporter la liste sous forme de rapport vers un compartiment Amazon S3 en tant que fichier CSV.

Pour ce faire, vous devez spécifier un rôle de service avec les autorisations et la politique d’approbation nécessaires pour l’opération. Vous pouvez choisir que Systems Manager crée le rôle pour vous pendant le processus de téléchargement du rapport. Vous pouvez également créer vous-même le rôle et la politique requise.

Pour créer un rôle de service personnalisé afin d’exporter des rapports de diagnostic vers S3

  1. Suivez les étapes de la section Création de politiques en utilisant l’éditeur JSON dans le Guide de l’utilisateur IAM.

    • Utilisez ce qui suit pour le contenu de la politique, en veillant à le placeholder values remplacer par vos propres informations.

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::s3-bucket-name/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "account-id"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:ListBucket",
        "s3:PutLifecycleConfiguration",
        "s3:GetLifecycleConfiguration"
      ],
      "Resource": "arn:aws:s3:::s3-bucket-name",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "account-id"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ssm:ListNodes"
      ],
      "Resource": "*"
    }
  ]
}

    • Donnez un nom à la politique pour vous aider à la reconnaître facilement lors de l’étape suivante.

  2. Suivez les étapes de la section Création d’un rôle IAM en utilisant une politique d’approbation personnalisée (console) dans le Guide de l’utilisateur IAM.

    • Pour l'étape 4, entrez la politique de confiance suivante, en veillant à la placeholder values remplacer par vos propres informations.

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "SSMAssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": "ssm.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        }
      }
    }
  ]
}

  3. Pour l’étape 10, choisissez Étape 2 : ajouter des autorisations et sélectionnez le nom de la politique que vous avez créée à l’étape précédente.

Après avoir créé le rôle, vous pouvez le sélectionner en suivant les étapes de Téléchargement ou exportation d’un rapport sur un nœud géré.