AWSSupport-ResetLinuxUserPassword - AWS Systems Manager Riferimento al runbook di automazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSSupport-ResetLinuxUserPassword

Descrizione

Il AWSSupport-ResetLinuxUserPassword runbook consente di reimpostare la password di un utente del sistema operativo locale (OS). Questo runbook è particolarmente utile per gli utenti che devono accedere alle proprie istanze Amazon Elastic Compute Cloud EC2 (Amazon) utilizzando la console seriale. Il runbook crea un' EC2 istanza Amazon temporanea nel tuo ruolo Account AWS e un ruolo AWS Identity and Access Management (IAM) con le autorizzazioni per recuperare un valore Gestione dei segreti AWS segreto contenente la password.

Il runbook arresta l' EC2 istanza Amazon di destinazione, scollega il volume root Amazon Elastic Block Store (Amazon EBS) e lo collega all'istanza Amazon temporanea. EC2 Utilizzando Run Command, viene eseguito uno script sull'istanza temporanea per impostare la password dell'utente del sistema operativo specificato. Quindi, il volume root di Amazon EBS viene ricollegato all'istanza di destinazione. Il runbook offre anche la possibilità di creare un'istantanea del volume root all'inizio dell'automazione.

Prima di iniziare

Crea un segreto di Secrets Manager con il valore della password che desideri assegnare all'utente del tuo sistema operativo. Il valore deve essere in testo semplice. Per ulteriori informazioni, consulta Creazione di un segreto Gestione dei segreti AWS nella Guida per l'utente di Gestione dei segreti AWS .

Considerazioni

  • Ti consigliamo di eseguire il backup dell'istanza prima di utilizzare questo runbook. Considerate di impostare il valore del CreateSnapshot parametro come. Yes

  • La modifica della password dell'utente locale richiede che il runbook interrompa l'istanza. Quando un'istanza viene interrotta, tutti i dati archiviati nella memoria o nei volumi dell'Instance Store vengono persi. Inoltre, tutti IPv4 gli indirizzi pubblici assegnati automaticamente vengono rilasciati. Per ulteriori informazioni su cosa succede quando interrompi un'istanza, consulta Arresta e avvia l'istanza nella Amazon EC2 User Guide.

  • Se i volumi Amazon EBS collegati all' EC2 istanza Amazon di destinazione sono crittografati con una chiave gestita dal cliente AWS Key Management Service (AWS KMS), assicurati che la AWS KMS chiave non lo sia deleted disabled o l'istanza non si avvierà.

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

Linux

Parametri

  • AutomationAssumeRole

    Tipo: stringa

    Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

  • InstanceId

    Tipo: stringa

    Descrizione: (Obbligatorio) L'ID dell'istanza Amazon EC2 Linux che contiene la password utente del sistema operativo che desideri reimpostare.

  • LinuxUserName

    Tipo: stringa

    Impostazione predefinita: ec2-user

    Descrizione: (Facoltativo) L'account utente del sistema operativo di cui desideri reimpostare la password.

  • SecretArn

    Tipo: stringa

    Descrizione: (Obbligatorio) L'ARN del segreto di Secrets Manager contenente la nuova password.

  • SecurityGroupId

    Tipo: stringa

    Descrizione: (Facoltativo) L'ID del gruppo di sicurezza da collegare all' EC2 istanza Amazon temporanea. Se non fornisci un valore per questo parametro, viene utilizzato il gruppo di sicurezza Amazon Virtual Private Cloud (Amazon VPC) predefinito.

  • SubnetId

    Tipo: stringa

    Descrizione: (Facoltativo) L'ID della sottorete in cui desideri avviare l'istanza EC2 temporanea di Amazon. Per impostazione predefinita, l'automazione sceglie la stessa sottorete dell'istanza di destinazione. Se si sceglie di fornire una sottorete diversa, questa deve trovarsi nella stessa zona di disponibilità dell'istanza di destinazione e avere accesso agli endpoint Systems Manager.

  • CreateSnapshot

    Tipo: stringa

    Valori validi: Sì | No

    Impostazione predefinita: Sì

    Descrizione: (Facoltativo) Determina se viene creata un'istantanea del volume root dell' EC2 istanza Amazon di destinazione prima dell'esecuzione dell'automazione.

  • StopConsent

    Tipo: stringa

    Valori validi: Sì | No

    Predefinito: No

    Descrizione: inserisci Yes per confermare che l' EC2 istanza Amazon di destinazione verrà interrotta durante questa automazione. Quando l' EC2 istanza Amazon viene interrotta, tutti i dati archiviati nella memoria o nei volumi dell'instance store vengono persi e l' IPv4 indirizzo pubblico automatico viene rilasciato. Per ulteriori informazioni, consulta Stop and start your istance nella Amazon EC2 User Guide.

Autorizzazioni IAM richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

  • ssm:DescribeInstanceInformation

  • ssm:ListTagsForResource

  • ssm:SendCommand

  • ec2:AttachVolume

  • ec2:CreateSnapshot

  • ec2:CreateSnapshots

  • ec2:CreateVolume

  • ec2:DescribeImages

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeSnapshotAttribute

  • ec2:DescribeSnapshots

  • ec2:DescribeSnapshotTierStatus

  • ec2:DescribeVolumes

  • ec2:DescribeVolumeStatus

  • ec2:DetachVolume

  • ec2:RunInstances

  • ec2:StartInstances

  • ec2:StopInstances

  • ec2:TerminateInstances

  • cloudformation:CreateStack

  • cloudformation:DeleteStack

  • cloudformation:DescribeStackResource

  • cloudformation:DescribeStacks

  • cloudformation:ListStacks

  • logs:CreateLogDelivery

  • logs:CreateLogGroup

  • logs:DeleteLogDelivery

  • logs:DeleteLogGroup

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:PutLogEvents

Fasi del documento

  1. aws:branch— Succursali a seconda che tu abbia fornito il consenso a interrompere l' EC2 istanza Amazon di destinazione.

  2. aws:assertAwsResourceProperty— Assicura che lo stato dell' EC2 istanza Amazon sia in uno stopped stato running or. In caso contrario, l'automazione termina.

  3. aws:executeAwsApi— Ottiene le proprietà dell' EC2 istanza Amazon.

  4. aws:executeAwsApi— Ottiene le proprietà del volume principale.

  5. aws:branch— Suddivide l'automazione a seconda che sia stato fornito un ID di sottorete per l' EC2 istanza Amazon temporanea.

  6. aws:assertAwsResourceProperty— Assicura che la sottorete specificata nel SubnetId parametro si trovi nella stessa zona di disponibilità dell' EC2 istanza Amazon di destinazione.

  7. aws:assertAwsResourceProperty— Assicura che il volume root dell' EC2istanza Amazon di destinazione sia un volume Amazon EBS.

  8. aws:assertAwsResourceProperty— Assicura che l'architettura dell' EC2 istanza Amazon sia arm64 ox86_64.

  9. aws:assertAwsResourceProperty— Assicura che il comportamento di chiusura dell' EC2 istanza Amazon sia corretto stop e non corretto. terminate

  10. aws:branch— Assicura che l' EC2 istanza Amazon non sia un'istanza Spot. Altrimenti, l'automazione termina.

  11. aws:executeScript— Assicura che l' EC2 istanza Amazon non faccia parte di un gruppo di auto scaling. Se l'istanza fa parte di un gruppo di auto scaling, l'automazione conferma che l' EC2 istanza Amazon è in uno stato del Standby ciclo di vita.

  12. aws:createStack— Crea un' EC2 istanza Amazon temporanea che viene utilizzata per reimpostare la password per l'utente del sistema operativo specificato.

  13. aws:waitForAwsResourceProperty— Attende l'esecuzione dell' EC2 istanza Amazon temporanea appena lanciata.

  14. aws:executeAwsApi— Ottiene l'ID dell' EC2istanza Amazon temporanea.

  15. aws:waitForAwsResourceProperty— Attende che l' EC2istanza temporanea di Amazon venga segnalata come gestita da Systems Manager.

  16. aws:changeInstanceState— Arresta l' EC2istanza Amazon di destinazione.

  17. aws:changeInstanceState— Forza l'interruzione dell' EC2 istanza Amazon di destinazione nel caso in cui rimanga bloccata in uno stato di arresto.

  18. aws:branch— Suddivide l'automazione a seconda che sia stata richiesta un'istantanea del volume root dell' EC2 istanza Amazon di destinazione.

  19. aws:executeAwsApi— Crea uno snapshot del volume Amazon EBS root dell' EC2istanza Amazon di destinazione.

  20. aws:waitForAwsResourceProperty— Attende che lo snapshot sia in uno stato. completed

  21. aws:executeAwsApi— Scollega il volume root di Amazon EBS dall'istanza Amazon EC2 di destinazione.

  22. aws:waitForAwsResourceProperty— Attende che il volume root di Amazon EBS venga scollegato dall'istanza Amazon di destinazione. EC2

  23. aws:executeAwsApi— Collega il volume Amazon EBS root all'istanza Amazon EC2 temporanea.

  24. aws:waitForAwsResourceProperty— Attende che il volume root di Amazon EBS venga collegato all'istanza Amazon EC2 temporanea.

  25. aws:runCommand— Reimposta la password dell'utente di destinazione eseguendo uno script di shell utilizzando Run Command sull' EC2 istanza temporanea di Amazon.

  26. aws:executeAwsApi— Scollega il volume root di Amazon EBS dall'istanza Amazon EC2 temporanea.

  27. aws:waitForAwsResourceProperty— Attende che il volume root di Amazon EBS venga scollegato dall'istanza Amazon temporanea. EC2

  28. aws:executeAwsApi— Scollega il volume root di Amazon EBS dall' EC2 istanza Amazon temporanea dopo un errore.

  29. aws:waitForAwsResourceProperty— Attende che il volume root di Amazon EBS venga scollegato dall' EC2 istanza Amazon temporanea dopo un errore.

  30. aws:branch— Suddivide l'automazione a seconda che sia stata richiesta un'istantanea del volume root per determinare il percorso di ripristino in caso di errore.

  31. aws:executeAwsApi— Ricollega il volume Amazon EBS root all'istanza Amazon di destinazione. EC2

  32. aws:waitForAwsResourceProperty— Attende che il volume root di Amazon EBS venga collegato all'istanza Amazon EC2 .

  33. aws:executeAwsApi— Crea un nuovo volume Amazon EBS dallo snapshot del volume root dell' EC2 istanza Amazon di destinazione.

  34. aws:waitForAwsResourceProperty— Attende che il nuovo volume Amazon EBS sia in uno available stato.

  35. aws:executeAwsApi— Collega il nuovo volume Amazon EBS all'istanza di destinazione come volume root.

  36. aws:waitForAwsResourceProperty— Attende che il volume Amazon EBS si trovi in uno attached stato.

  37. aws:executeAwsApi— Descrive gli eventi CloudFormation dello stack se i runbook non riescono a creare o aggiornare lo stack. CloudFormation

  38. aws:branch— Suddivide l'automazione in base allo stato precedente dell' EC2 istanza Amazon. Se lo stato erarunning, l'istanza viene avviata. Se era in uno stopped stato, l'automazione continua.

  39. aws:changeInstanceState— Avvia l' EC2 istanza Amazon, se necessario.

  40. aws:waitForAwsResourceProperty— Attende che lo CloudFormation stack assuma lo stato di terminale prima di eliminarlo.

  41. aws:executeAwsApi— Elimina lo CloudFormation stack, inclusa l'istanza Amazon EC2 temporanea.