AWSSupport-ResetLinuxUserPassword - AWS Systems Manager Référence du manuel d'automatisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSSupport-ResetLinuxUserPassword

Description

Le AWSSupport-ResetLinuxUserPassword runbook vous aide à réinitialiser le mot de passe d'un utilisateur du système d'exploitation (OS) local. Ce runbook est particulièrement utile pour les utilisateurs qui ont besoin d'accéder à leurs instances Amazon Elastic Compute Cloud (Amazon EC2) via la console série. Le runbook crée une instance Amazon EC2 temporaire dans Compte AWS votre ordinateur avec un rôle Gestion des identités et des accès AWS généré automatiquement (IAM) ou un profil d'instance IAM personnalisé que vous spécifiez. Le profil d'instance personnalisé (IAM) doit être autorisé à récupérer la valeur AWS Secrets Manager secrète contenant le mot de passe.

Le runbook arrête votre instance Amazon EC2 cible, détache le volume Amazon Elastic Block Store (Amazon EBS) racine et l'attache à l'instance Amazon EC2 temporaire. À l'aide de Run Command, un script s'exécute sur l'instance temporaire pour définir le mot de passe de l'utilisateur du système d'exploitation que vous spécifiez. Le volume Amazon EBS racine est ensuite rattaché à votre instance cible. Le runbook fournit également une option permettant de créer un instantané du volume racine au début de l'automatisation.

Avant de commencer

Créez un secret Secrets Manager avec la valeur du mot de passe que vous souhaitez attribuer à l'utilisateur de votre système d'exploitation. La valeur doit être en texte brut. Pour plus d’informations, consultez Créer un secret AWS Secrets Manager dans le Guide de l’utilisateur AWS Secrets Manager .

Considérations

  • Nous vous recommandons de sauvegarder votre instance avant d'utiliser ce runbook. Envisagez de définir la valeur du CreateSnapshot paramètre comme suitYes.

  • La modification du mot de passe de l'utilisateur local nécessite que le runbook arrête votre instance. Lorsqu'une instance est arrêtée, toutes les données stockées en mémoire ou sur les volumes de stockage d'instance sont perdues. De plus, toutes les IPv4 adresses publiques attribuées automatiquement sont publiées. Pour plus d'informations sur ce qui se passe lorsque vous arrêtez une instance, consultez Arrêter et démarrer votre instance dans le guide de l'utilisateur Amazon EC2.

  • Si les volumes Amazon EBS attachés à votre instance Amazon EC2 cible sont chiffrés à l'aide d'une clé AWS Key Management Service gérée par le client AWS KMS(), assurez-vous que ce deleted n'est pas AWS KMS le cas, disabled sinon votre instance ne démarrera pas.

  • L'utilisation d'un profil d'instance IAM personnalisé nécessite l'AutomationAssumeRoleGetInstanceProfileautorisation IAM pour la validation, et le profil d'instance personnalisé lui-même doit inclure les autorisations d'accès à Systems Manager et Secrets Manager. Le runbook valide l'existence du profil d'instance dès le départ mais échouera lors des opérations d'instance d'assistance si le profil d'instance ne dispose pas de l'accès requis.

Exécuter cette automatisation (console)

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

Linux

Paramètres

  • AutomationAssumeRole

    Type : Chaîne

    Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

  • InstanceId

    Type : Chaîne

    Description : (Obligatoire) L'ID de l'instance Linux Amazon EC2 qui contient le mot de passe utilisateur du système d'exploitation que vous souhaitez réinitialiser.

  • LinuxUserName

    Type : Chaîne

    Par défaut : ec2-user

    Description : (Facultatif) Le compte utilisateur du système d'exploitation dont vous souhaitez réinitialiser le mot de passe.

  • SecretArn

    Type : Chaîne

    Description : (Obligatoire) L'ARN du secret de votre Gestionnaire de Secrets contenant le nouveau mot de passe.

  • SecurityGroupId

    Type : Chaîne

    Description : (Facultatif) L'ID du groupe de sécurité à associer à l'instance Amazon EC2 temporaire. Si vous ne fournissez aucune valeur pour ce paramètre, le groupe de sécurité Amazon Virtual Private Cloud (Amazon VPC) par défaut est utilisé.

  • SubnetId

    Type : Chaîne

    Description : (Facultatif) L'ID du sous-réseau dans lequel vous souhaitez lancer l'instance temporaire Amazon EC2. Par défaut, l'automatisation choisit le même sous-réseau que votre instance cible. Si vous choisissez de fournir un sous-réseau différent, celui-ci doit se trouver dans la même zone de disponibilité que l'instance cible et avoir accès aux points de terminaison de Systems Manager.

  • CreateSnapshot

    Type : Chaîne

    Valeurs valides : Oui | Non

    Par défaut : Oui

    Description : (Facultatif) Détermine si un instantané du volume racine de votre instance Amazon EC2 cible est créé avant l'exécution de l'automatisation.

  • StopConsent

    Type : Chaîne

    Valeurs valides : Oui | Non

    Par défaut : Non

    Description : Entrez Yes pour confirmer que votre instance Amazon EC2 cible sera arrêtée pendant cette automatisation. Lorsque l'instance Amazon EC2 est arrêtée, toutes les données stockées dans la mémoire ou dans les volumes de stockage d'instance sont perdues et l' IPv4 adresse publique automatique est publiée. Pour plus d’informations, consultez Arrêter et démarrer votre instance dans le Guide de l’utilisateur Amazon EC2.

  • InstanceProfileName

    Type : Chaîne

    Description : (Facultatif) Nom du profil d'instance IAM à associer à l'instance d'assistance Amazon EC2. S'il n'est pas fourni, un profil d'instance temporaire avec les autorisations requises sera créé automatiquement. Le profil d'instance personnalisé doit être autorisé à accéder au secret Secrets Manager et à Systems Manager spécifiés.

Autorisations IAM requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

  • ssm:DescribeInstanceInformation

  • ssm:ListTagsForResource

  • ssm:SendCommand

  • ec2:AttachVolume

  • ec2:CreateSnapshot

  • ec2:CreateSnapshots

  • ec2:CreateVolume

  • ec2:DescribeImages

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeSnapshotAttribute

  • ec2:DescribeSnapshots

  • ec2:DescribeSnapshotTierStatus

  • ec2:DescribeVolumes

  • ec2:DescribeVolumeStatus

  • ec2:DetachVolume

  • ec2:RunInstances

  • ec2:StartInstances

  • ec2:StopInstances

  • ec2:TerminateInstances

  • cloudformation:CreateStack

  • cloudformation:DeleteStack

  • cloudformation:DescribeStackResource

  • cloudformation:DescribeStacks

  • cloudformation:ListStacks

  • logs:CreateLogDelivery

  • logs:CreateLogGroup

  • logs:DeleteLogDelivery

  • logs:DeleteLogGroup

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:PutLogEvents

  • iam:GetInstanceProfile

Étapes de document

  1. aws:branch— Branches selon que vous avez autorisé ou non l'arrêt de l'instance Amazon EC2 cible.

  2. aws:assertAwsResourceProperty— Garantit que le statut de l'instance Amazon EC2 est à l'état running oustopped. Dans le cas contraire, l'automatisation prend fin.

  3. aws:executeAwsApi— Obtient les propriétés de l'instance Amazon EC2.

  4. aws:executeAwsApi— Récupère les propriétés du volume racine.

  5. aws:branch— Divise l'automatisation selon qu'un ID de sous-réseau a été fourni ou non pour l'instance temporaire Amazon EC2.

  6. aws:assertAwsResourceProperty— Garantit que le sous-réseau que vous spécifiez en SubnetId paramètre se trouve dans la même zone de disponibilité que l'instance Amazon EC2 cible.

  7. aws:assertAwsResourceProperty— Garantit que le volume racine de l'instance Amazon EC2 cible est un volume Amazon EBS.

  8. aws:assertAwsResourceProperty— Garantit que l'architecture de l'instance Amazon EC2 est arm64 ou. x86_64

  9. aws:assertAwsResourceProperty— Garantit que le comportement d'arrêt de l'instance Amazon EC2 est ou nonstop. terminate

  10. aws:branch— Garantit que l'instance Amazon EC2 n'est pas une instance Spot. Dans le cas contraire, l'automatisation prend fin.

  11. aws:executeScript— Garantit que l'instance Amazon EC2 ne fait pas partie d'un groupe de mise à l'échelle automatique. Si l'instance fait partie d'un groupe de dimensionnement automatique, l'automatisation confirme que l'instance Amazon EC2 est dans un état de Standby cycle de vie.

  12. aws:branch— Branche l'automatisation selon qu'un nom de profil d'instance IAM personnalisé a été fourni ou non

  13. aws:assertAwsResourceProperty— Vérifie que le profil d'instance IAM personnalisé existe et valide que son nom correspond au paramètre d'entrée.

  14. aws:createStack— Crée une instance Amazon EC2 temporaire qui est utilisée pour réinitialiser le mot de passe de l'utilisateur du système d'exploitation que vous spécifiez.

  15. aws:waitForAwsResourceProperty— Attend que l'instance temporaire Amazon EC2 récemment lancée soit en cours d'exécution.

  16. aws:executeAwsApi— Obtient l'ID de l'instance Amazon EC2 temporaire.

  17. aws:waitForAwsResourceProperty— Attend que l'instance temporaire Amazon EC2 produise le rapport tel que géré par Systems Manager.

  18. aws:changeInstanceState— Arrête l'instance Amazon EC2 cible.

  19. aws:changeInstanceState— Force l'instance Amazon EC2 cible à s'arrêter au cas où elle resterait bloquée dans un état d'arrêt.

  20. aws:branch— Divise l'automatisation selon qu'un instantané du volume racine de l'instance Amazon EC2 cible a été demandé ou non.

  21. aws:executeAwsApi— Crée un instantané du volume Amazon EBS racine de l'instance Amazon EC2 cible.

  22. aws:waitForAwsResourceProperty— Attend que l'instantané soit dans un completed état.

  23. aws:executeAwsApi— Détache le volume racine Amazon EBS de l'instance Amazon EC2 cible.

  24. aws:waitForAwsResourceProperty— Attend que le volume racine Amazon EBS soit détaché de l'instance Amazon EC2 cible.

  25. aws:executeAwsApi— Attache le volume Amazon EBS racine à l'instance Amazon EC2 temporaire.

  26. aws:waitForAwsResourceProperty— Attend que le volume racine Amazon EBS soit attaché à l'instance Amazon EC2 temporaire.

  27. aws:runCommand— Réinitialise le mot de passe de l'utilisateur cible en exécutant un script shell à l'aide de Run Command sur l'instance temporaire Amazon EC2.

  28. aws:executeAwsApi— Détache le volume racine Amazon EBS de l'instance Amazon EC2 temporaire.

  29. aws:waitForAwsResourceProperty— Attend que le volume racine Amazon EBS soit détaché de l'instance Amazon EC2 temporaire.

  30. aws:executeAwsApi— Détache le volume racine Amazon EBS de l'instance temporaire Amazon EC2 après une erreur.

  31. aws:waitForAwsResourceProperty— Attend que le volume racine Amazon EBS soit détaché de l'instance temporaire Amazon EC2 après une erreur.

  32. aws:branch— Divise l'automatisation selon qu'un instantané du volume racine a été demandé ou non pour déterminer le chemin de restauration en cas d'erreur.

  33. aws:executeAwsApi— Rattache le volume Amazon EBS racine à l'instance Amazon EC2 cible.

  34. aws:waitForAwsResourceProperty— Attend que le volume racine Amazon EBS soit attaché à l'instance Amazon EC2.

  35. aws:executeAwsApi— Crée un nouveau volume Amazon EBS à partir de l'instantané du volume racine de l'instance Amazon EC2 cible.

  36. aws:waitForAwsResourceProperty— Attend que le nouveau volume Amazon EBS soit en état. available

  37. aws:executeAwsApi— Attache le nouveau volume Amazon EBS à l'instance cible en tant que volume racine.

  38. aws:waitForAwsResourceProperty— Attend que le volume Amazon EBS soit dans un attached état normal.

  39. aws:executeAwsApi— Décrit les événements de la CloudFormation pile si les runbooks ne parviennent pas à créer ou à mettre à jour la CloudFormation pile.

  40. aws:branch— Divise l'automatisation en fonction de l'état précédent de l'instance Amazon EC2. Si l'état était le casrunning, l'instance est démarrée. S'il était dans un stopped état, l'automatisation continue.

  41. aws:changeInstanceState— Démarre l'instance Amazon EC2 si nécessaire.

  42. aws:waitForAwsResourceProperty— Attend que la CloudFormation pile soit en état de terminal avant de la supprimer.

  43. aws:executeAwsApi— Supprime la CloudFormation pile, y compris l'instance temporaire Amazon EC2.