• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione del servizio di automazione
Per configurare Automation, uno strumento in AWS Systems Manager, è necessario verificare l'accesso degli utenti al servizio di automazione e configurare i ruoli in base alla situazione in modo che il servizio possa eseguire azioni sulle risorse. Ti consigliamo inoltre di accedere alla modalità di simultaneità adattiva nelle preferenze di Automation. La simultaneità adattiva dimensiona automaticamente la quota di automazione per soddisfare le tue esigenze. Per ulteriori informazioni, consulta [Consentire ad Automation di adattarsi alle esigenze di simultaneità](adaptive-concurrency.md).
Per garantire un accesso corretto all' AWS Systems Manager automazione, consulta i seguenti requisiti relativi ai ruoli utente e di servizio.
## Verifica dell'accesso utente per runbook
Verifica di disporre dell'autorizzazione per utilizzare i runbook. Se all'utente, al gruppo o al ruolo sono assegnate le autorizzazioni di amministratore, potrai accedere all'Automazione di Systems Manager. Se non disponi delle autorizzazioni di amministratore, un amministratore dovrà concedere le autorizzazioni necessarie assegnando la policy gestita `AmazonSSMFullAccess` oppure una policy che conceda autorizzazioni analoghe all'utente, al gruppo o al ruolo.
**Importante**
La policy IAM di `AmazonSSMFullAccess` concede autorizzazioni per le operazioni di Systems Manager. Tuttavia, alcuni runbook richiedono le autorizzazioni ad altri servizi, ad esempio il runbook di `AWS-ReleaseElasticIP`, che richiede autorizzazioni IAM per `ec2:ReleaseAddress`. Pertanto, è necessario rivedere le operazioni eseguite in un runbook per garantire che all'utente, al gruppo o al ruolo vengano assegnate le autorizzazioni necessarie per eseguire le operazioni incluse nel runbook.
## Configurazione di un accesso al ruolo di servizio (ruolo presunto) per le automazioni
Le automazioni possono essere avviate nel contesto di un ruolo di servizio (o *ruolo presunto*). Ciò permette al servizio di eseguire operazioni per conto tuo. Se non specifichi un ruolo presunto, il servizio di automazione utilizza il contesto dell'utente che ha richiamato l'automazione.
Tuttavia, i seguenti scenari richiedono di specificare un ruolo di servizio di Automazione:
+ Quando si desidera limitare le autorizzazioni di un utente per una risorsa, ma che permette all'utente di eseguire un' automazione che richiede autorizzazioni elevate. In questo scenario è possibile creare un ruolo di servizio con autorizzazioni elevate e permettere all'utente di eseguire l'automazione.
+ Quando si crea un'associazione di Systems Manager State Manager che esegue un runbook.
+ Quando disponi di operazioni che prevedi vengano eseguite per più di 12 ore.
+ Quando esegui un runbook non di proprietà di Amazon che utilizza l'`aws:executeScript`azione per richiamare un'operazione AWS API o agire su una AWS risorsa. Per informazioni, consulta [Autorizzazioni per l'utilizzo di runbook](automation-document-script-considerations.md#script-permissions).
Se devi creare un ruolo di servizio per il servizio di automazione, puoi utilizzare uno dei seguenti metodi.
**Topics**
+ [Verifica dell'accesso utente per runbook](#automation-setup-user-access)
+ [Configurazione di un accesso al ruolo di servizio (ruolo presunto) per le automazioni](#automation-setup-configure-role)
+ [Creare ruoli di servizio per l'automazione utilizzando CloudFormation](automation-setup-cloudformation.md)
+ [Crea ruoli di servizio per l'automazione tramite la console](automation-setup-iam.md)
+ [Esempi di impostazione di politiche basate sull'identità](automation-setup-identity-based-policies.md)
+ [Consentire ad Automation di adattarsi alle esigenze di simultaneità](adaptive-concurrency.md)
+ [Configurazione della ripetizione dei tentativi automatica per le operazioni di limitazione (della larghezza di banda della rete)](automation-throttling-retry.md)
+ [Implementazione dei controlli delle modifiche per Automazione](automation-change-calendar-integration.md)
# Creare ruoli di servizio per l'automazione utilizzando CloudFormation
È possibile creare un ruolo di servizio per Automation, uno strumento in AWS Systems Manager, a partire da un AWS CloudFormation modello. Dopo aver creato il ruolo di servizio, puoi specificare il ruolo di servizio nei runbook utilizzando il parametro `AutomationAssumeRole`.
## Crea il ruolo di servizio utilizzando CloudFormation
Utilizzare la procedura seguente per creare il ruolo richiesto AWS Identity and Access Management (IAM) per Systems Manager Automation utilizzando CloudFormation.
**Per creare il ruolo IAM richiesto**
1. scarica e decomprimi il file [https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/AWS-SystemsManager-AutomationServiceRole.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/AWS-SystemsManager-AutomationServiceRole.zip). Questo file include il file `AWS-SystemsManager-AutomationServiceRole.yaml` CloudFormation modello.
1. Apri la CloudFormation console in [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Scegliere **Create Stack** (Crea stack).
1. Nella sezione **Specify template**(Specifica il modello) scegliere **Upload a template file** (Carica un file modello).
1. Scegli **Sfoglia**, quindi scegli il `AWS-SystemsManager-AutomationServiceRole.yaml` CloudFormation file modello.
1. Scegliere **Next** (Successivo).
1. Nella pagina **Specify stack details** (Specifica dettagli dello stack), inserire un nome nel campo **Stack name**(Nome stack).
1. Nella pagina **Configure stack options (Configura opzioni stack)** non è necessario effettuare alcuna selezione. Scegli **Next (Successivo)**.
1. Nella pagina **Revisione**, scorri verso il basso e scegli l'opzione **Riconosco che CloudFormation potrebbe creare risorse IAM**.
1. Scegli **Create** (Crea).
CloudFormation mostra lo stato **CREATE\$1IN\$1PROGRESS** per circa tre minuti. Lo stato diventa **CREATE\$1COMPLETE** al termine della creazione dello stack e i ruoli sono pronti per essere utilizzati.
**Importante**
Se si esegue un flusso di lavoro di automazione che chiama altri servizi utilizzando un ruolo di servizio (IAM) AWS Identity and Access Management , tenere presente che tale ruolo di servizio deve essere configurato con l'autorizzazione per la chiamata di tali servizi. Questo requisito si applica a tutti i runbook di AWS automazione (`AWS-*`runbook) come, e `AWS-RestartEC2Instance` runbook `AWS-ConfigureS3BucketLogging``AWS-CreateDynamoDBBackup`, solo per citarne alcuni. Questo requisito si applica anche a tutti i runbook di automazione personalizzati creati dall'utente che richiamano altri utenti Servizi AWS utilizzando azioni che richiamano altri servizi. Ad esempio, se utilizzi le operazioni `aws:executeAwsApi`, `aws:createStack` o `aws:copyImage`, devi configurare il ruolo di servizio con l'autorizzazione per richiamare tali servizi. Puoi concedere le autorizzazioni ad altri Servizi AWS aggiungendo una policy inline IAM al ruolo. Per ulteriori informazioni, consulta [(Facoltativo) Aggiungi una policy in linea di automazione o una policy gestita dal cliente per richiamarne altre Servizi AWS](automation-setup-iam.md#add-inline-policy).
## Copia delle informazioni sui ruoli per l'automazione
Utilizzare la procedura seguente per copiare le informazioni sul ruolo del servizio di automazione dalla CloudFormation console. È necessario specificare questi ruoli quando si utilizza un runbook.
**Nota**
Non è necessario copiare le informazioni del ruolo per questa procedura se esegui i runbook di `AWS-UpdateLinuxAmi` o `AWS-UpdateWindowsAmi`. Questi runbook includono già i ruoli richiesti specificati come valori di default. I ruoli specificati in questi runbook utilizzano le policy IAM gestite.
**Per copiare i nomi dei ruoli**
1. Apri la CloudFormation console in [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Selezionare lo **Stack name** (Nome dello stack) di automazione creato nella procedura precedente.
1. Scegliere la scheda **Resources** (Risorse).
1. Scegli il link **Physical ID** per. **AutomationServiceRole** La console di IAM visualizza il riepilogo del ruolo di servizio dell'automazione.
1. Copiare l'Copia l'Amazon Resource Name (ARN) accanto a **Role ARN (ARN ruolo)**. L'ARN è simile al seguente: `arn:aws:iam::12345678:role/AutomationServiceRole`
1. Incollare l'ARN in un file di testo da usare in un secondo momento.
La configurazione del ruolo di servizio per il servizio di automazione è stata completata. Ora puoi utilizzare l'Amazon Resource Name (ARN) del ruolo di servizio dell'automazione nei runbook.
# Crea ruoli di servizio per l'automazione tramite la console
Se devi creare un ruolo di servizio per Automation, uno strumento in AWS Systems Manager, completa le seguenti attività. Per ulteriori informazioni su quando un ruolo di servizio è obbligatorio per l'automazione, consulta [Configurazione del servizio di automazione](automation-setup.md).
**Topics**
+ [Processo 1: creazione di un ruolo di servizio per il servizio di automazione](#create-service-role)
+ [Attività 2: allega la PassRole policy iam: al tuo ruolo di automazione](#attach-passrole-policy)
## Processo 1: creazione di un ruolo di servizio per il servizio di automazione
Utilizza la procedura seguente per creare un ruolo di servizio (o *ruolo presunto*) per il servizio di automazione di Systems Manager.
**Nota**
Puoi anche utilizzare questo ruolo nei runbook, ad esempio il runbook `AWS-CreateManagedLinuxInstance`. L'utilizzo di questo ruolo, o dell'Amazon Resource Name (ARN) di un ruolo AWS Identity and Access Management (IAM), nei runbook consente all'automazione di eseguire azioni nel tuo ambiente, come avviare nuove istanze ed eseguire azioni per tuo conto.
**Per creare un ruolo IAM e consentire al servizio di automazione di usarlo**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel pannello di navigazione, scegliere **Roles** (Ruoli) e quindi **Create role** (Crea ruolo).
1. In **Select type of trusted entity** (Seleziona tipo di entità attendibile), scegliere **AWS service** (Servizio).
1. Nella sezione **Choose a use case** (Scegli un caso d'uso), scegliere **Systems Manager**, e quindi scegliere **Next: Permissions** (Successivo: autorizzazioni).
1. Nella pagina **Politica di autorizzazione allegata**, cerca la policy di **Amazon SSMAutomation Role**, selezionala, quindi scegli **Avanti: revisione**.
1. Nella pagina **Review (Rivedi)** inserire un nome nella casella **Role name** (Nome ruolo), quindi inserire una descrizione.
1. Scegliere **Create role** (Crea ruolo). Il sistema visualizza di nuovo la pagina **Roles** (Ruoli).
1. Nella pagina **Ruoli**, scegli il ruolo appena creato per aprire la pagina **Riepilogo**. Annotare i valori per **Role Name** (Nome ruolo) e **Role ARN** (ARN ruolo). Specificherai il ruolo ARN quando alleghi la PassRole policy **iam:** al tuo account IAM nella procedura successiva. È inoltre possibile specificare il nome di ruolo e l'ARN nei runbook.
**Nota**
La `AmazonSSMAutomationRole` policy assegna l'autorizzazione al ruolo di automazione a un sottoinsieme di AWS Lambda funzioni all'interno del tuo account. Queste funzioni iniziano con "Automation". Se si prevede di utilizzare il servizio di automazione con funzioni Lambda, l'ARN Lambda deve utilizzare il seguente formato:
`"arn:aws:lambda:*:*:function:Automation*"`
**Se disponi di funzioni Lambda esistenti che ARNs non utilizzano questo formato, devi anche allegare una policy Lambda aggiuntiva al tuo ruolo di automazione, come la politica Role. AWSLambda** La policy o il ruolo aggiuntivo deve garantire un accesso più ampio alle funzioni Lambda all'interno dell' Account AWS.
Dopo aver creato il tuo ruolo di servizio, ti consigliamo di modificare la policy di attendibilità per evitare il problema del "confused deputy" tra servizi. Il *problema confused deputy* è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Inoltre AWS, l'impersonificazione tra servizi può portare al confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare che ciò accada, AWS mette a disposizione strumenti che consentono di proteggere i dati relativi a tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse del vostro account.
Ti consigliamo di utilizzare le chiavi di contesto delle condizioni globali [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) nelle policy delle risorse per limitare le autorizzazioni con cui Automation fornisce un altro servizio alla risorsa. Se il valore `aws:SourceArn` non contiene l'ID account, ad esempio un ARN del bucket Amazon S3, devi utilizzare entrambe le chiavi di contesto delle condizioni globali per limitare le autorizzazioni. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali e il valore `aws:SourceArn` contiene l'ID account, il valore `aws:SourceAccount` e l'account nel valore `aws:SourceArn` deve utilizzare lo stesso ID account nella stessa dichiarazione di policy. Utilizzare `aws:SourceArn` se si desidera consentire l'associazione di una sola risorsa all'accesso tra servizi. Utilizzare `aws:SourceAccount` se si desidera consentire l’associazione di qualsiasi risorsa in tale account all’uso tra servizi. Il valore di `aws:SourceArn` deve essere l'ARN per l'esecuzione delle automazioni. Se non si conosce l'ARN completo della risorsa o se si sta specificando più risorse, utilizzare la chiave di condizione del contesto globale `aws:SourceArn` con caratteri speciali (`*`) per le parti sconosciute dell'ARN. Ad esempio, `arn:aws:ssm:*:123456789012:automation-execution/*`.
L'esempio seguente mostra il modo in cui puoi utilizzare le chiavi di contesto delle condizioni globali `aws:SourceArn` e `aws:SourceAccount` per l'automazione per prevenire il problema confused deputy.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"ssm.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ssm:*:123456789012:automation-execution/*"
}
}
}
]
}
```
------
**Per modificare una policy di attendibilità del ruolo**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Nell'elenco dei ruoli dell'account, scegliere il nome del ruolo di servizio di Automation.
1. Selezionare la scheda **Trust relationships (Relazioni di trust)** e scegliere **Edit trust relationship (Modifica relazione di trust)**.
1. Modificare la policy di attendibilità utilizzando le chiavi di contesto delle condizioni globali `aws:SourceArn` e `aws:SourceAccount` per fare in modo che Automation prevenga il problema del "confused deputy".
1. Per salvare le modifiche, scegliere **Update Trust Policy** (Aggiorna policy di attendibilità).
### (Facoltativo) Aggiungi una policy in linea di automazione o una policy gestita dal cliente per richiamarne altre Servizi AWS
Se esegui un'automazione che richiama altri Servizi AWS utilizzando un ruolo di servizio IAM, il ruolo di servizio deve essere configurato con l'autorizzazione a richiamare tali servizi. Questo requisito si applica a tutti i runbook di AWS automazione (`AWS-*`runbook) come,, e `AWS-RestartEC2Instance` runbook `AWS-ConfigureS3BucketLogging``AWS-CreateDynamoDBBackup`, solo per citarne alcuni. Questo requisito vale anche per i runbook personalizzati che utilizzano altri Servizi AWS tramite l'utilizzo di operazioni che chiamano altri servizi. Ad esempio, se utilizzi le operazioni `aws:executeAwsApi`. `aws:CreateStack` o `aws:copyImage`, per citarne alcune, devi configurare il ruolo di servizio con l'autorizzazione per richiamare questi servizi. Puoi concedere autorizzazioni ad altri Servizi AWS aggiungendo al ruolo una policy in linea IAM o una policy gestita dal cliente.
**Per incorporare una policy inline per un ruolo di servizio (console IAM)**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Nel pannello di navigazione, scegliere **Roles (Ruoli)**.
1. Nell'elenco, scegliere il nome del ruolo da modificare.
1. Scegliere la scheda **Permissions (Autorizzazioni)**.
1. Nell'elenco a discesa **Aggiungi autorizzazioni**, scegli **Collega policy** o **Crea policy inline**.
1. Se scegli **Collega policy**, seleziona la casella di controllo accanto alla policy che desideri aggiungere e scegli **Aggiungi autorizzazioni**.
1. Scegli **Crea policy inline**, quindi scegli la scheda **JSON**.
1. Inserisci un documento di policy JSON per il file Servizi AWS che desideri richiamare. Di seguito sono riportati due documenti della policy JSON di esempio.
**Amazon S3 PutObject ed esempio GetObject**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
**Amazon EC2 ed esempio CreateSnapshot DescribeSnapShots**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"ec2:CreateSnapshot",
"Resource":"*"
},
{
"Effect":"Allow",
"Action":"ec2:DescribeSnapshots",
"Resource":"*"
}
]
}
```
------
Per informazioni sul linguaggio della policy IAM consulta [Riferimento alle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida per l'utente IAM*.
1. Al termine, seleziona **Review policy (Rivedi policy)**. In [Policy Validator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) (Validatore di policy) vengono segnalati eventuali errori di sintassi.
1. Nella pagina **Review policy** (Rivedi policy), inserire un **Name (Nome)** per la policy che stai creando. Consulta il **Riepilogo** della policy per visualizzare le autorizzazioni concesse dalla policy. Seleziona **Create policy** (Crea policy) per salvare il proprio lavoro.
1. Una volta creata, una policy inline viene automaticamente incorporata nel ruolo.
## Attività 2: allega la PassRole policy iam: al tuo ruolo di automazione
Utilizza la procedura seguente per collegare la policy `iam:PassRole` al ruolo di servizio di Automazione. Ciò consente al servizio di automazione di passare il ruolo ad altri servizi o strumenti di Systems Manager durante l'esecuzione delle automazioni.
**Per allegare la PassRole policy iam: al tuo ruolo di automazione**
1. Nella pagina **Summary (Riepilogo)** per il ruolo creato in precedenza, scegliere la scheda **Permissions (Autorizzazioni)**.
1. Scegliere **Add inline policy** (Aggiungi policy inline).
1. Nella pagina **Create Policy** (Crea policy), scegliere la scheda **Visual editor (Editor visivo)**.
1. Scegliere **Service** (Servizio), quindi **IAM**.
1. Scegliere **Select actions** (Seleziona operazioni).
1. Nella casella di testo **Filtra azioni****PassRole**, digita e scegli l'**PassRole**opzione.
1. Scegliere **Resources** (Risorse). Verifica che l'opzione **Specific** (Specifico) sia selezionata, quindi scegliere **Add ARN** (Aggiungi ARN).
1. Nel campo **Specify ARN for role** (Specifica ARN per il ruolo), incolla l'ARN del ruolo di automazione copiato alla fine del processo 1. Il sistema popola automaticamente i campi **Account** e **Role name with path (Nome ruolo con percorso)**.
**Nota**
Se desideri che il ruolo di servizio dell'automazione alleghi un ruolo del profilo dell'istanza IAM a un'istanza EC2, è necessario aggiungere l'ARN del ruolo del profilo dell'istanza. Ciò consente al ruolo di servizio di dell'automazione di passare il ruolo del profilo dell'istanza IAM all'istanza EC2 di destinazione.
1. Scegliere **Add** (Aggiungi).
1. Scegliere **Review policy** (Rivedi policy).
1. Nella pagina **Review Policy** (Rivedi policy), inserire un nome, quindi scegliere **Create Policy **(Crea policy).
# Esempi di impostazione di politiche basate sull'identità
Le sezioni seguenti forniscono esempi di politiche basate sull'identità IAM per AWS Systems Manager il servizio di automazione. *Per ulteriori informazioni su come creare una policy basata sull'identità IAM utilizzando questi esempi di documenti JSON Policy, consulta [Creating IAM policies nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) User Guide.*
**Nota**
Tutti gli esempi contengono account fittizi. IDs L'ID dell'account non deve essere specificato nell'Amazon Resource Name (ARN) per i documenti pubblici AWS di proprietà.
**Esempi**
+ [Esempio 1: consentire a un utente di eseguire un documento di automazione e visualizzare l'esecuzione dell'automazione](#automation-setup-identity-based-policies-example-1)
+ [Esempio 2: consentire a un utente di eseguire una versione specifica di un documento di automazione](#automation-setup-identity-based-policies-example-2)
+ [Esempio 3: consentire a un utente di eseguire documenti di automazione con un tag specifico](#automation-setup-identity-based-policies-example-3)
+ [Esempio 4: consente a un utente di eseguire un documento di automazione quando viene fornito un parametro di tag specifico per l'esecuzione dell'automazione](#automation-setup-identity-based-policies-example-4)
## Esempio 1: consentire a un utente di eseguire un documento di automazione e visualizzare l'esecuzione dell'automazione
La seguente policy IAM di esempio permette a un utente di eseguire queste operazioni:
+ Esegui il documento di automazione specificato nella politica. Il nome del documento è determinato dalla seguente voce:
```
arn:aws:ssm:*:111122223333:document/{{DocumentName}}
```
+ Interrompi e invia segnali a un'esecuzione di automazione.
+ Visualizza i dettagli sull'esecuzione dell'automazione dopo che è stata avviata.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ssm:StartAutomationExecution",
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*:111122223333:document/{{DocumentName}}",
"arn:aws:ssm:*:111122223333:automation-execution/*"
]
},
{
"Action": [
"ssm:StopAutomationExecution",
"ssm:GetAutomationExecution",
"ssm:DescribeAutomationExecutions",
"ssm:DescribeAutomationStepExecutions",
"ssm:SendAutomationSignal"
],
"Resource": [
"arn:aws:ssm:*:111122223333:automation-execution/*"
],
"Effect": "Allow"
}
]
}
```
------
## Esempio 2: consentire a un utente di eseguire una versione specifica di un documento di automazione
Il seguente esempio di policy IAM consente a un utente di eseguire una versione specifica di un documento di automazione:
+ Il nome del documento di automazione è determinato dalla seguente voce.
```
arn:aws:ssm:*:111122223333:document/{{DocumentName}}
```
+ La versione del documento di automazione è determinata dalla seguente voce.
```
"ssm:DocumentVersion": "5"
```
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ssm:StartAutomationExecution",
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*:111122223333:document/{{DocumentName}}"
],
"Condition": {
"ForAnyValue:StringEquals": {
"ssm:DocumentVersion": ["5"]
}
}
},
{
"Action": [
"ssm:StartAutomationExecution"
],
"Resource": [
"arn:aws:ssm:*:111122223333:automation-execution/*"
],
"Effect": "Allow"
},
{
"Action": [
"ssm:StopAutomationExecution",
"ssm:GetAutomationExecution",
"ssm:DescribeAutomationExecutions",
"ssm:DescribeAutomationStepExecutions",
"ssm:SendAutomationSignal"
],
"Resource": [
"arn:aws:ssm:*:111122223333:automation-execution/*"
],
"Effect": "Allow"
}
]
}
```
------
## Esempio 3: consentire a un utente di eseguire documenti di automazione con un tag specifico
Il seguente esempio di policy IAM consente a un utente di eseguire qualsiasi documento di automazione che abbia un tag specifico:
+ Il nome del documento di automazione è determinato dalla seguente voce.
```
arn:aws:ssm:*:111122223333:document/{{DocumentName}}
```
+ Il tag del documento di automazione è determinato dalla seguente voce.
```
"ssm:DocumentVersion": "5"
```
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ssm:StartAutomationExecution",
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*:111122223333:document/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/stage": "production"
}
}
},
{
"Action": [
"ssm:StartAutomationExecution"
],
"Resource": [
"arn:aws:ssm:*:111122223333:automation-execution/*"
],
"Effect": "Allow"
},
{
"Action": [
"ssm:StopAutomationExecution",
"ssm:GetAutomationExecution",
"ssm:DescribeAutomationExecutions",
"ssm:DescribeAutomationStepExecutions",
"ssm:SendAutomationSignal"
],
"Resource": [
"arn:aws:ssm:*:111122223333:automation-execution/*"
],
"Effect": "Allow"
}
]
}
```
------
## Esempio 4: consente a un utente di eseguire un documento di automazione quando viene fornito un parametro di tag specifico per l'esecuzione dell'automazione
L'esempio seguente di policy IAM concede le autorizzazioni a un utente per eseguire documenti di automazione quando viene fornito un parametro di tag specifico per l'esecuzione dell'automazione:
+ Esegui il documento di automazione specificato nella policy. Il nome del documento è determinato dalla seguente voce:
```
arn:aws:ssm:*:111122223333:document/{{DocumentName}}
```
+ È necessario fornire un parametro di tag specifico per l'esecuzione dell'automazione. Il parametro tag per la risorsa di esecuzione dell'automazione è determinato dalla voce seguente.
```
"aws:ResourceTag/stage": "production"
```
+ Interrompi e invia segnali alle esecuzioni di automazione che hanno il tag specificato.
+ Visualizza i dettagli sulle esecuzioni di automazione che hanno il tag specificato.
+ Aggiungi il tag specificato alle risorse SSM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ssm:StartAutomationExecution",
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*:111122223333:document/{{DocumentName}}"
]
},
{
"Action": [
"ssm:StartAutomationExecution",
"ssm:StopAutomationExecution",
"ssm:GetAutomationExecution",
"ssm:DescribeAutomationExecutions",
"ssm:DescribeAutomationStepExecutions",
"ssm:SendAutomationSignal"
],
"Resource": [
"arn:aws:ssm:*:111122223333:automation-execution/*"
],
"Effect": "Allow",
"Condition": {
"StringEquals": {
"aws:ResourceTag/environment": "beta"
}
}
},
{
"Action": "ssm:AddTagsToResource",
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*:111122223333:automation-execution/*"
]
}
]
}
```
------
# Consentire ad Automation di adattarsi alle esigenze di simultaneità
Per impostazione predefinita, Automation consente di eseguire fino a 100 automazioni simultanee alla volta. Automation fornisce inoltre un'impostazione facoltativa da utilizzare per regolare automaticamente la quota di automazione simultanea. Grazie a questa impostazione, la quota di automazione simultanea può gestire fino a 500 automazioni simultanee, a seconda delle risorse disponibili.
**Nota**
Se l’automazione chiama operazioni API, il dimensionamento adattivo agli obiettivi può comportare eccezioni di limitazione (della larghezza di banda della rete). Se si verificano eccezioni ricorrenti di limitazione (della larghezza di banda della rete) durante l’esecuzione di automazioni con la simultaneità adattiva attivata, potrebbe essere necessario richiedere un aumento delle quote per l'operazione API, se disponibile.
**Per attivare la concorrenza adattiva utilizzando il Console di gestione AWS**
1. Apri la AWS Systems Manager console all'indirizzo. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Nel pannello di navigazione, scegli **Automazione**.
1. Scegli la scheda **Preferenze**, quindi seleziona **Modifica**.
1. Seleziona la casella di controllo accanto a **Attiva la simultaneità adattiva**.
1. Scegli **Save** (Salva).
**Per attivare la simultaneità adattiva utilizzando la riga di comando**
+ Apri AWS CLI o Strumenti per Windows PowerShell ed esegui il comando seguente per attivare la concorrenza adattiva per il tuo account nella regione richiedente.
------
#### [ Linux & macOS ]
```
aws ssm update-service-setting \
--setting-id /ssm/automation/enable-adaptive-concurrency \
--setting-value True
```
------
#### [ Windows ]
```
aws ssm update-service-setting ^
--setting-id /ssm/automation/enable-adaptive-concurrency ^
--setting-value True
```
------
#### [ PowerShell ]
```
Update-SSMServiceSetting `
-SettingId "/ssm/automation/enable-adaptive-concurrency" `
-SettingValue "True"
```
------
# Configurazione della ripetizione dei tentativi automatica per le operazioni di limitazione (della larghezza di banda della rete)
Esiste un limite nel numero di esecuzioni di automazione simultanee che eseguibili in ogni account. Il tentativo di eseguire numerose automazioni contemporaneamente in un account può causare problemi di limitazione (della larghezza di banda della rete). È possibile utilizzare la funzionalità di ripetizione dei tentativi di limitazione (della larghezza di banda della rete) automatica per configurare il relativo comportamento per i passaggi di automazione limitati.
La ripetizione dei tentativi di limitazione (della larghezza di banda della rete) automatica per le azioni di automazione offre un ambiente di esecuzione più resiliente per operazioni su larga scala. La funzionalità di ripetizione dei tentativi di limitazione (della larghezza di banda della rete) supporta tutte le [azioni di automazione](automation-actions.md) ad eccezione di `aws:executeScript`.
L'impostazione della ripetizione dei tentativi di limitazione (della larghezza di banda della rete) funziona in aggiunta alla proprietà del passaggio di `maxAttempts` esistente. Quando entrambe sono configurate, il sistema tenta innanzitutto di ripetere i tentativi di limitazione (della larghezza di banda della rete) entro il limite di tempo specificato, quindi applica l'impostazione di `maxAttempts`, se il passaggio continua a fare errori.
**Per configurare la limitazione, riprova usando il Console di gestione AWS**
1. Apri la console all' AWS Systems Manager indirizzo. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Nel pannello di navigazione, scegli **Automazione**.
1. Scegli la scheda **Preferenze**, quindi seleziona **Modifica**.
1. Nel campo **Limite di tempo per la ripetizione dei tentativi di limitazione (della larghezza di banda della rete)**, immetti un valore compreso tra 0 e 3.600 secondi. Questo specifica il tempo massimo durante il quale il sistema riprova un passaggio limitato.
1. Scegli **Save** (Salva).
**Per configurare la ripetizione dei tentativi di limitazione (della larghezza di banda della rete) tramite la riga di comando**
+ Apri AWS CLI o Tools for Windows PowerShell ed esegui il comando seguente per configurare il throttling retry per il tuo account nella regione richiedente.
------
#### [ Linux & macOS ]
```
aws ssm update-service-setting \
--setting-id /ssm/automation/throttling-retry-time-limit \
--setting-value 3600
```
------
#### [ Windows ]
```
aws ssm update-service-setting ^
--setting-id /ssm/automation/throttling-retry-time-limit ^
--setting-value 3600
```
------
#### [ PowerShell ]
```
Update-SSMServiceSetting `
-SettingId "/ssm/automation/throttling-retry-time-limit" `
-SettingValue "3600"
```
------
# Implementazione dei controlli delle modifiche per Automazione
Per impostazione predefinita, Automazione consente di utilizzare i runbook senza vincoli di data e ora. Integrando Automation conChange Calendar, puoi implementare i controlli delle modifiche a tutte le automazioni del tuo. Account AWS Con questa impostazione, i principali AWS Identity and Access Management (IAM) dell'account possono eseguire automazioni solo durante i periodi di tempo consentiti dal calendario delle modifiche. Per ulteriori informazioni sulle operazioni con Change Calendar, consulta la pagina [Utilizzo di Change Calendar](systems-manager-change-calendar-working.md).
**Attivazione dei controlli delle modifiche (console)**
1. Apri la AWS Systems Manager console all'indirizzo. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Nel pannello di navigazione, scegli **Automazione**.
1. Scegli la scheda **Preferenze**, quindi seleziona **Modifica**.
1. Seleziona la casella di controllo accanto a **Attiva l'integrazione Change Calendar**.
1. Nell'elenco a discesa **Scegli un calendario delle modifiche**, scegli il calendario delle modifiche che desideri che Automazione segua.
1. Scegli **Salva**.