本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AMS SSP 在您的 AMS 帳戶中佈建 AWS Systems Manager 自動化
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 AWS Systems Manager 自動化功能。 AWS Systems Manager 自動化使用 Runbook、動作和服務配額,簡化 Amazon Elastic Compute Cloud 執行個體和其他 AWS 資源的常見維護和部署任務。它可讓您大規模建置、執行和監控自動化。Systems Manager Automation 是一種 Systems Manager 文件,可定義 Systems Manager 在受管執行個體上執行的動作。您用來執行常見維護和部署任務的 Runbook,例如在受管執行個體中執行命令或自動化指令碼。Systems Manager 包含可協助您使用 Amazon Elastic Compute Cloud 標籤以大型執行個體群組為目標的功能,以及協助您根據定義限制推展變更的速度控制。Runbook 是使用 JavaScript 物件標記法 (JSON) 或 YAML 撰寫。使用 Systems Manager Automation 主控台中的 Document Builder (文件建置器),不過,您可以建立 Runbook,而無需以原生 JSON 或 YAML 撰寫。或者,您可以使用 Systems Manager 提供的 Runbook 搭配符合您需求的預先定義步驟。若要進一步了解,請參閱 AWS Systems Manager 文件中的使用 Runbook。
注意
雖然 Systems Manager Automation 支援 20 種可在 Runbook 中使用的動作類型,但是在編寫要在 AMS Advanced 帳戶中使用的 Runbook 時,您可以使用有限數量的動作。同樣地,Systems Manager 提供的 Runbook 數量有限,可以直接使用,也可以從您自己的 Runbook 中使用。如需詳細資訊,請參閱下列常見問答集中的限制。
AWS Systems Manager AWS Managed Services 中的自動化常見問答集
常見問題和解答:
問:如何請求存取 AMS 帳戶中的 Systems Manager Automation?
透過使用 管理 | AWS 服務 | 自助佈建服務 | 新增變更類型 (ct-1w8z66n899dct) 提交 RFC 來請求存取 AWS Systems Manager 自動化。此 RFC 會將下列 IAM 角色佈建至您的帳戶:customer_systemsmanager_automation_console_role。在帳戶中佈建後,您必須在聯合解決方案中加入角色。
問:在我的 AMS 帳戶中使用 AWS Systems Manager 自動化有哪些限制?
您必須使用有限的一組 Systems Manager 支援動作來撰寫 Runbook,才能在受管執行個體內執行命令和/或指令碼。您可以搭配任何限制使用的動作概述如下。
| 動作 | 描述 | 限制 |
|---|---|---|
aws:assertAwsResourceProperty – |
宣告 AWS 資源狀態或事件狀態 |
僅限 EC2 執行個體 |
aws:aws:branch – |
執行條件式自動化步驟 |
無限制 |
aws:createTags – |
建立 AWS 資源的標籤 |
僅適用於您撰寫的 SSM 自動化 Runbook |
aws:executeAutomation – |
執行另一個自動化 |
只有您撰寫的自動化 Runbook |
aws:executeScript – |
執行指令碼 |
僅限不對任何 服務進行任何 API 呼叫的指令碼 |
aws:暫停 – |
暫停自動化 |
無限制 |
aws:runCommand – |
在受管執行個體上執行命令 |
僅使用 System Manager 提供的文件 - AWS-RunShellScript 和 AWS-RunPowerShellScript |
aws:sleep – |
延遲自動化 |
無限制 |
aws:waitForAwsResourceProperty – |
等待 AWS 資源屬性 |
僅限 EC2 執行個體 |
您也可以選擇使用 Systems Manager 提供的 Runbook AWS-RunShellScript 和 AWS-RunPowerShellScript,從 Systems Manager 主控台使用「執行命令」功能直接執行命令或指令碼。您也可以將這些 Runbook 巢狀化為 Runbook,以因應額外的驗證前和/或驗證後或任何複雜的自動化邏輯。
該角色遵循最低權限原則,並且只提供在受管執行個體中撰寫、執行和擷取 Runbook 執行命令和/或指令碼所需的許可。它不會為 AWS Systems Manager 服務提供的任何其他功能提供許可。雖然此功能可讓您撰寫自動化 Runbook,但執行 Runbook 無法以 AMS 擁有的資源為目標。
問:在我的 AMS 帳戶中使用 AWS Systems Manager 自動化的先決條件或相依性是什麼?
沒有先決條件;不過,您必須確保在撰寫 Runbook 時遵循內部程序和/或合規控制。我們也建議在針對生產資源執行 Runbook 之前,先徹底測試 Runbook。
問:Systems Manager 政策是否可以customer_systemsmanager_automation_policy連接到其他 IAM 角色?
否,與其他已啟用自行佈建的服務不同,此政策只能指派給佈建的預設角色 customer_systemsmanager_automation_console_role。
與其他 SSPS 角色的政策不同,此 SSM SSPS 政策無法與其他自訂 IAM 角色共用,因為此 AMS 服務僅適用於在受管執行個體內執行命令或自動化指令碼。如果這些許可被允許連接到其他自訂 IAM 角色,可能具有其他服務的許可,則允許的動作範圍可以擴展到受管服務,並可能降低您帳戶的安全狀態。
若要根據我們的 AMS 技術標準評估任何變更請求 (RFCs),請使用各自的 Cloud Architect 或服務交付管理員,請參閱 RFC 安全性審查。
注意
AWS Systems Manager 可讓您使用與 帳戶共用的 Runbook。我們建議您在使用共用 Runbook 時小心謹慎,並執行盡職調查檢查,並確保在執行 Runbook 之前檢閱內容以了解其執行的命令/指令碼。如需詳細資訊,請參閱共用 SSM 文件的最佳實務。
