As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Use o AMS SSP para provisionar a AWS Systems Manager automação em sua conta AMS
Use o modo AMS Self-Service Provisioning (SSP) para acessar os recursos de AWS Systems Manager automação diretamente em sua conta gerenciada pelo AMS. AWS Systems Manager A automação simplifica as tarefas comuns de manutenção e implantação de instâncias do Amazon Elastic Compute Cloud e outros AWS recursos usando runbooks, ações e cotas de serviços. Ele permite que você crie, execute e monitore automações em grande escala. A automação do Systems Manager é um tipo de documento do Systems Manager que define as ações que o Systems Manager executa em suas instâncias gerenciadas. Um runbook que você usa para realizar tarefas comuns de manutenção e implantação, como executar comandos ou scripts de automação em suas instâncias gerenciadas. O Systems Manager inclui recursos que ajudam você a atingir grandes grupos de instâncias usando tags do Amazon Elastic Compute Cloud e controles de velocidade que ajudam a implementar alterações de acordo com os limites definidos. Os runbooks são escritos usando JavaScript Object Notation (JSON) ou YAML. No entanto, usando o Document Builder no console do Systems Manager Automation, você pode criar um runbook sem precisar criar em JSON ou YAML nativo. Como alternativa, você pode usar os runbooks fornecidos pelo Systems Manager com etapas predefinidas que atendam às suas necessidades. Para saber mais, consulte Como trabalhar com runbooks na AWS Systems Manager documentação.
nota
Embora o Systems Manager Automation ofereça suporte a 20 tipos de ação que podem ser usados no runbook, há um número limitado de ações que você pode usar ao criar o runbook para ser usado em sua conta do AMS Advanced. Da mesma forma, um número limitado de runbooks fornecidos pelo Systems Manager pode ser usado diretamente ou de dentro do seu próprio runbook. Para obter detalhes, consulte as restrições nas perguntas frequentes a seguir.
AWS Systems Manager Perguntas frequentes sobre automação no AWS Managed Services
Perguntas e respostas comuns:
P: Como solicito acesso ao Systems Manager Automation na minha conta AMS?
Solicite acesso à AWS Systems Manager automação enviando uma RFC com o Gerenciamento | AWS serviço | Serviço autoprovisionado | Adicionar tipo de alteração (ct-1w8z66n899dct). Este RFC provisiona a seguinte função do IAM para sua conta:customer_systemsmanager_automation_console_role. Depois de provisionado em sua conta, você deve integrar a função em sua solução de federação.
P: Quais são as limitações de usar a AWS Systems Manager automação na minha conta do AMS?
Você precisa criar seu runbook, com um conjunto limitado de ações suportadas pelo Systems Manager para automação, somente para executar and/or scripts de comandos em suas instâncias gerenciadas. As ações que estão disponíveis para você, juntamente com quaisquer restrições, estão descritas abaixo.
| Ação | Descrição | Limitação |
|---|---|---|
aws: assertAwsResource Propriedade — |
Afirmar um estado AWS de recurso ou estado de evento |
Somente EC2 instâncias |
aws:aws:branch — |
Execute etapas de automação condicional |
Sem limitação |
AWS: criar tags — |
Crie tags para AWS recursos |
Somente para os runbooks de automação SSM que você cria |
AWS: Execute a automação — |
Execute outra automação |
Somente o runbook de automação que você cria |
aws:ExecuteScript — |
Executar um script |
Único script que não faz nenhuma chamada de API para nenhum serviço |
aws:pause — |
Pausar uma automação |
Sem limitação |
AWS: RunCommand — |
Executar um comando em uma instância gerenciada |
Usando somente o documento fornecido pelo System Manager - AWS- RunShellScript e AWS- RunPowerShellScript |
aws:sleep — |
Atrasar uma automação |
Sem limitação |
leis: waitForAws ResourceProperty — |
Aguarde uma propriedade AWS de recurso |
Somente EC2 instâncias |
Você também pode optar por executar o comando ou script diretamente com o runbook AWS RunShellScript e AWS fornecido pelo Systems Manager RunPowerShellScript usando o recurso “Executar comando” no console do Systems Manager. Você também pode agrupar esses runbooks em seu runbook, que fornece validação adicional antes da and/or pós-validação ou qualquer lógica de automação complexa.
A função segue o princípio do menor privilégio e fornece apenas a permissão necessária para criar, executar e recuperar detalhes de execução de runbooks destinados à execução de and/or scripts de comando em suas instâncias gerenciadas. Ele não fornece permissão para nenhum outro recurso fornecido AWS Systems Manager pelo serviço. Embora o recurso permita que você crie runbooks de automação, a execução dos runbooks não pode ser direcionada para recursos de propriedade do AMS.
P: Quais são os pré-requisitos ou dependências para usar a AWS Systems Manager automação na minha conta do AMS?
Não há pré-requisitos; no entanto, você deve garantir que seus controles internos de and/or conformidade do processo sejam cumpridos durante a criação de runbooks. Também recomendamos testar minuciosamente os runbooks antes de executá-los nos recursos de produção.
P: A política do Systems Manager pode customer_systemsmanager_automation_policy ser anexada a outras funções do IAM?
Não, diferentemente de outros serviços habilitados para autoprovisionamento, essa política só pode ser atribuída à função padrão provisionada. customer_systemsmanager_automation_console_role
Diferentemente das políticas de outras funções SSPS, essa política SSM SSPS não pode ser compartilhada com outras funções personalizadas do IAM, porque esse serviço AMS serve apenas para executar comandos ou scripts de automação em suas instâncias gerenciadas. Se essas permissões pudessem ser anexadas a outras funções personalizadas do IAM, potencialmente com permissões em outros serviços, o escopo das ações permitidas poderia se estender aos serviços gerenciados e, potencialmente, reduzir a postura de segurança da sua conta.
Para avaliar qualquer solicitação de mudança (RFCs) de acordo com nossos padrões técnicos do AMS, trabalhe com seu respectivo arquiteto de nuvem ou gerente de entrega de serviços, consulte as análises de segurança da RFC.
nota
AWS Systems Manager permite que você use runbooks que são compartilhados com sua conta. Recomendamos que você tenha cuidado e realize uma verificação de devida diligência ao usar runbooks compartilhados e certifique-se de revisar o conteúdo para entender se command/scripts eles são executados antes de executar os runbooks. Para obter detalhes, consulte Práticas recomendadas para documentos SSM compartilhados.
