AWSSupport-ResetLinuxUserPassword - AWS Systems Manager Referencia del manual de automatización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSSupport-ResetLinuxUserPassword

Descripción

El manual de procedimientos AWSSupport-ResetLinuxUserPassword le ayuda a restablecer la contraseña de un usuario del sistema operativo (SO) local. Este manual de procedimientos es especialmente útil para los usuarios que necesitan acceder a sus instancias de Amazon Elastic Compute Cloud (Amazon EC2) mediante la consola de serie. El runbook crea una instancia temporal de Amazon EC2 en Cuenta de AWS usted con un rol AWS Identity and Access Management generado automáticamente (IAM) o un perfil de instancia de IAM personalizado que especifique. El perfil de instancia personalizado (IAM) debe tener permisos para recuperar el valor AWS Secrets Manager secreto que contiene la contraseña.

El manual de procedimientos detiene la instancia de Amazon EC2 de destino, separa el volumen raíz de Amazon Elastic Block Store (Amazon EBS) y lo conecta a la instancia de Amazon EC2 temporal. Con Run Command, se ejecuta un script en la instancia temporal para establecer la contraseña del usuario del sistema operativo que especifique. A continuación, el volumen raíz de Amazon EBS se vuelve a adjuntar a la instancia de destino. El manual de procedimientos también ofrece una opción para crear una instantánea del volumen raíz al comienzo de la automatización.

Antes de empezar

Cree un secreto de Secrets Manager con el valor de la contraseña que desee asignar al usuario de su sistema operativo. El valor debe estar en texto sin formato. Para obtener más información, consulte Crear un secreto de AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager .

Consideraciones

  • Recomendamos hacer una copia de seguridad de la instancia antes de usar este manual de procedimientos. Considere la posibilidad de establecer el valor del parámetro CreateSnapshot como Yes.

  • Para cambiar la contraseña del usuario local, es necesario que el manual de procedimientos detenga la instancia. Los datos guardados en la memoria o en el almacén de instancias se perderán cuando se detenga una instancia. Además, se liberarán todas IPv4 las direcciones públicas que se asignen automáticamente. Para obtener más información sobre lo que ocurre cuando detiene una instancia, consulte Detener e iniciar la instancia en la Guía del usuario de Amazon EC2.

  • Si los volúmenes de Amazon EBS adjuntos a su instancia Amazon EC2 de destino están cifrados con una clave AWS Key Management Service gestionada por el cliente AWS KMS(), asegúrese de que AWS KMS la clave deleted no lo esté disabled o la instancia no podrá iniciarse.

  • El uso de un perfil de instancia de IAM personalizado requiere AutomationAssumeRole tener GetInstanceProfile permiso de IAM para la validación, y el propio perfil de instancia personalizado debe incluir los permisos de acceso a Systems Manager y Secrets Manager. El manual valida la existencia del perfil de instancia por adelantado, pero fallará durante las operaciones de la instancia auxiliar si el perfil de la instancia no tiene el acceso necesario.

Ejecuta esta automatización (consola)

Tipo de documento

Automatización

Propietario

Amazon

Plataformas

Linux

Parámetros

  • AutomationAssumeRole

    Tipo: cadena

    Descripción: (opcional) el Nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.

  • InstanceId

    Tipo: cadena

    Descripción: (obligatorio) el ID de la instancia Linux Amazon EC2 que contiene la contraseña de usuario del sistema operativo que desea restablecer.

  • LinuxUserName

    Tipo: cadena

    Predeterminado: ec2-user

    Descripción: (opcional) la cuenta de usuario del sistema operativo cuya contraseña desea restablecer.

  • SecretArn

    Tipo: cadena

    Descripción: (obligatorio) el ARN del secreto de Secrets Manager que contiene la nueva contraseña.

  • SecurityGroupId

    Tipo: cadena

    Descripción: (opcional) el ID del grupo de seguridad que se va a asociar a la instancia de Amazon EC2 temporal. Si no proporciona un valor para este parámetro, se usa el grupo de seguridad Amazon Virtual Private Cloud (Amazon VPC) predeterminado.

  • SubnetId

    Tipo: cadena

    Descripción: (opcional) el ID de la subred en la que desea lanzar la instancia temporal de Amazon EC2. De forma predeterminada, la automatización elige la misma subred que la instancia de destino. Si elige proporcionar una subred diferente, debe estar en la misma zona de disponibilidad que la instancia de destino y tener acceso a los puntos de enlace de Systems Manager.

  • CreateSnapshot

    Tipo: cadena

    Valores válidos: Yes | No

    Valor predeterminado: Yes

    Descripción: (opcional) determina si se crea una instantánea del volumen raíz de la instancia Amazon EC2 de destino antes de que se ejecute la automatización.

  • StopConsent

    Tipo: cadena

    Valores válidos: Yes | No

    Valor predeterminado: No

    Descripción: introduzca Yes para confirmar que su instancia Amazon EC2 de destino se detendrá durante esta automatización. Cuando se detiene la instancia Amazon EC2, se pierden todos los datos almacenados en la memoria o en los volúmenes del almacén de instancias y se libera la IPv4 dirección pública automática. Para obtener más información, consulte Detener e iniciar la instancia en la Guía del usuario de Amazon EC2.

  • InstanceProfileName

    Tipo: cadena

    Descripción: (opcional) El nombre del perfil de instancia de IAM que se va a adjuntar a la instancia auxiliar de Amazon EC2. Si no se proporciona, se creará automáticamente un perfil de instancia temporal con los permisos necesarios. El perfil de instancia personalizado debe tener permisos para acceder al secreto de Secrets Manager y a Systems Manager especificados.

Permisos de IAM necesarios

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

  • ssm:DescribeInstanceInformation

  • ssm:ListTagsForResource

  • ssm:SendCommand

  • ec2:AttachVolume

  • ec2:CreateSnapshot

  • ec2:CreateSnapshots

  • ec2:CreateVolume

  • ec2:DescribeImages

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeSnapshotAttribute

  • ec2:DescribeSnapshots

  • ec2:DescribeSnapshotTierStatus

  • ec2:DescribeVolumes

  • ec2:DescribeVolumeStatus

  • ec2:DetachVolume

  • ec2:RunInstances

  • ec2:StartInstances

  • ec2:StopInstances

  • ec2:TerminateInstances

  • cloudformation:CreateStack

  • cloudformation:DeleteStack

  • cloudformation:DescribeStackResource

  • cloudformation:DescribeStacks

  • cloudformation:ListStacks

  • logs:CreateLogDelivery

  • logs:CreateLogGroup

  • logs:DeleteLogDelivery

  • logs:DeleteLogGroup

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:PutLogEvents

  • iam:GetInstanceProfile

Pasos de documentos

  1. aws:branch: se ramifica en función de si ha dado su consentimiento para detener la instancia Amazon EC2 de destino.

  2. aws:assertAwsResourceProperty— Garantiza que el estado de la instancia Amazon EC2 esté en estado running ostopped. De lo contrario, la automatización finaliza.

  3. aws:executeAwsApi— Obtiene las propiedades de la instancia Amazon EC2.

  4. aws:executeAwsApi— Obtiene las propiedades del volumen raíz.

  5. aws:branch— Ramifica la automatización en función de si se proporcionó un ID de subred para la instancia temporal de Amazon EC2.

  6. aws:assertAwsResourceProperty— Garantiza que la subred que especifique en el SubnetId parámetro esté en la misma zona de disponibilidad que la instancia Amazon EC2 de destino.

  7. aws:assertAwsResourceProperty— Garantiza que el volumen raíz de la instancia Amazon EC2 de destino sea un volumen de Amazon EBS.

  8. aws:assertAwsResourceProperty— Garantiza que la arquitectura de la instancia Amazon EC2 sea arm64 o. x86_64

  9. aws:assertAwsResourceProperty— Garantiza que el comportamiento de cierre de la instancia de Amazon EC2 sea stop o no. terminate

  10. aws:branch— Garantiza que la instancia Amazon EC2 no sea una instancia puntual. De lo contrario, la automatización finaliza.

  11. aws:executeScript— Garantiza que la instancia de Amazon EC2 no forme parte de un grupo de autoescalado. Si la instancia forma parte de un grupo de escalado automático, la automatización confirma que la instancia de Amazon EC2 se encuentra en un estado Standby de ciclo de vida.

  12. aws:branch— Ramifica la automatización en función de si se proporcionó o no un nombre de perfil de instancia de IAM personalizado

  13. aws:assertAwsResourceProperty— Garantiza la existencia del perfil de instancia de IAM personalizado y valida que su nombre coincida con el parámetro de entrada.

  14. aws:createStack— Crea una instancia Amazon EC2 temporal que se utiliza para restablecer la contraseña del usuario del sistema operativo que especifique.

  15. aws:waitForAwsResourceProperty— Espera a que se ejecute la instancia temporal de Amazon EC2 recién lanzada.

  16. aws:executeAwsApi— Obtiene el ID de la instancia temporal de Amazon EC2.

  17. aws:waitForAwsResourceProperty— Espera a que la instancia temporal de Amazon EC2 muestre que está gestionada por Systems Manager.

  18. aws:changeInstanceState— Detiene la instancia Amazon EC2 de destino.

  19. aws:changeInstanceState— Obliga a la instancia Amazon EC2 de destino a detenerse en caso de que se quede atascada en un estado de parada.

  20. aws:branch— Ramifica la automatización en función de si se solicitó una instantánea del volumen raíz de la instancia Amazon EC2 de destino.

  21. aws:executeAwsApi— Crea una instantánea del volumen raíz de Amazon EBS de la instancia Amazon EC2 de destino.

  22. aws:waitForAwsResourceProperty— Espera a que la instantánea esté en un estado. completed

  23. aws:executeAwsApi— Separa el volumen raíz de Amazon EBS de la instancia Amazon EC2 de destino.

  24. aws:waitForAwsResourceProperty— Espera a que el volumen raíz de Amazon EBS se separe de la instancia Amazon EC2 de destino.

  25. aws:executeAwsApi— Adjunta el volumen raíz de Amazon EBS a la instancia temporal de Amazon EC2.

  26. aws:waitForAwsResourceProperty— Espera a que el volumen raíz de Amazon EBS se adjunte a la instancia temporal de Amazon EC2.

  27. aws:runCommand— Restablece la contraseña del usuario de destino mediante la ejecución de un script de shell mediante Run Command en la instancia temporal de Amazon EC2.

  28. aws:executeAwsApi— Separa el volumen raíz de Amazon EBS de la instancia temporal de Amazon EC2.

  29. aws:waitForAwsResourceProperty— Espera a que el volumen raíz de Amazon EBS se separe de la instancia temporal de Amazon EC2.

  30. aws:executeAwsApi— Separa el volumen raíz de Amazon EBS de la instancia temporal de Amazon EC2 tras un error.

  31. aws:waitForAwsResourceProperty— Espera a que el volumen raíz de Amazon EBS se separe de la instancia temporal de Amazon EC2 tras un error.

  32. aws:branch— Ramifica la automatización en función de si se ha solicitado una instantánea del volumen raíz para determinar la ruta de recuperación en caso de error.

  33. aws:executeAwsApi— Vuelve a conectar el volumen raíz de Amazon EBS a la instancia Amazon EC2 de destino.

  34. aws:waitForAwsResourceProperty— Espera a que el volumen raíz de Amazon EBS se adjunte a la instancia de Amazon EC2.

  35. aws:executeAwsApi— Crea un nuevo volumen de Amazon EBS a partir de la instantánea del volumen raíz de la instancia Amazon EC2 de destino.

  36. aws:waitForAwsResourceProperty— Espera hasta que el nuevo volumen de Amazon EBS esté en un available estado.

  37. aws:executeAwsApi— Adjunta el nuevo volumen de Amazon EBS a la instancia de destino como volumen raíz.

  38. aws:waitForAwsResourceProperty— Espera a que el volumen de Amazon EBS esté en un attached estado.

  39. aws:executeAwsApi— Describe los eventos de la CloudFormation pila si los runbooks no pueden crear o actualizar la pila. CloudFormation

  40. aws:branch— Ramifica la automatización en función del estado anterior de la instancia de Amazon EC2. Si el estado era running, se inicia la instancia. Si estaba en un estado stopped, la automatización continúa.

  41. aws:changeInstanceState— Inicia la instancia Amazon EC2 si es necesario.

  42. aws:waitForAwsResourceProperty— Espera a que la CloudFormation pila esté en estado terminal antes de eliminarla.

  43. aws:executeAwsApi— Elimina la CloudFormation pila, incluida la instancia temporal de Amazon EC2.