AWSSupport-ResetLinuxUserPassword - AWS Systems Manager Riferimento all'Automation Runbook

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSSupport-ResetLinuxUserPassword

Descrizione

Il AWSSupport-ResetLinuxUserPassword runbook consente di reimpostare la password di un utente del sistema operativo locale (OS). Questo runbook è particolarmente utile per gli utenti che devono accedere alle proprie istanze Amazon Elastic Compute Cloud (Amazon EC2) utilizzando la console seriale. Il runbook crea un'istanza Amazon EC2 temporanea all'interno dell' Account AWS utente con un ruolo AWS Identity and Access Management generato automaticamente (IAM) o un profilo di istanza IAM personalizzato specificato dall'utente. Il profilo dell'istanza personalizzata (IAM) deve disporre delle autorizzazioni per recuperare il valore Gestione dei segreti AWS segreto contenente la password.

Il runbook arresta l'istanza Amazon EC2 di destinazione, scollega il volume root Amazon Elastic Block Store (Amazon EBS) e lo collega all'istanza Amazon EC2 temporanea. Utilizzando Run Command, viene eseguito uno script sull'istanza temporanea per impostare la password dell'utente del sistema operativo specificato. Quindi, il volume root di Amazon EBS viene ricollegato all'istanza di destinazione. Il runbook offre anche la possibilità di creare un'istantanea del volume root all'inizio dell'automazione.

Prima di iniziare

Crea un segreto di Secrets Manager con il valore della password che desideri assegnare all'utente del tuo sistema operativo. Il valore deve essere in testo semplice. Per ulteriori informazioni, consulta Create an Gestione dei segreti AWS secret in Gestione dei segreti AWS User Guide.

Considerazioni

  • Ti consigliamo di eseguire il backup dell'istanza prima di utilizzare questo runbook. Considerate di impostare il valore del CreateSnapshot parametro come. Yes

  • La modifica della password dell'utente locale richiede che il runbook interrompa l'istanza. Quando un'istanza viene arrestata, tutti i dati archiviati nella memoria o nei volumi dell'Instance Store vengono persi. Inoltre, tutti IPv4 gli indirizzi pubblici assegnati automaticamente vengono rilasciati. Per ulteriori informazioni su cosa succede quando interrompi un'istanza, consulta Stop and start your istance nella Amazon EC2 User Guide.

  • Se i volumi Amazon EBS collegati all'istanza Amazon EC2 di destinazione sono crittografati con una chiave AWS Key Management Service gestita dal cliente AWS KMS(), assicurati che AWS KMS la chiave non lo sia disabled o l'istanza deleted non si avvierà.

  • L'utilizzo di un profilo di istanza IAM personalizzato richiede l'AutomationAssumeRoleGetInstanceProfileautorizzazione IAM per la convalida e il profilo di istanza personalizzato stesso deve includere le autorizzazioni di accesso a Systems Manager e Secrets Manager. Il runbook convalida l'esistenza del profilo di istanza fin dall'inizio, ma non riuscirà durante le operazioni dell'istanza helper se al profilo dell'istanza non è richiesto l'accesso.

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

Linux

Parametri

  • AutomationAssumeRole

    Tipo: String

    Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

  • InstanceId

    Tipo: String

    Descrizione: (Obbligatorio) L'ID dell'istanza Amazon EC2 Linux che contiene la password utente del sistema operativo che desideri reimpostare.

  • LinuxUserName

    Tipo: String

    Impostazione predefinita: ec2-user

    Descrizione: (Facoltativo) L'account utente del sistema operativo di cui desideri reimpostare la password.

  • SecretArn

    Tipo: String

    Descrizione: (Obbligatorio) L'ARN del segreto di Secrets Manager contenente la nuova password.

  • SecurityGroupId

    Tipo: String

    Descrizione: (Facoltativo) L'ID del gruppo di sicurezza da collegare all'istanza temporanea di Amazon EC2. Se non fornisci un valore per questo parametro, viene utilizzato il gruppo di sicurezza Amazon Virtual Private Cloud (Amazon VPC) predefinito.

  • SubnetId

    Tipo: String

    Descrizione: (Facoltativo) L'ID della sottorete in cui desideri avviare l'istanza temporanea di Amazon EC2. Per impostazione predefinita, l'automazione sceglie la stessa sottorete dell'istanza di destinazione. Se si sceglie di fornire una sottorete diversa, questa deve trovarsi nella stessa zona di disponibilità dell'istanza di destinazione e avere accesso agli endpoint Systems Manager.

  • CreateSnapshot

    Tipo: String

    Valori validi: Sì | No

    Impostazione predefinita: Sì

    Descrizione: (Facoltativo) Determina se viene creata una snapshot del volume root dell'istanza Amazon EC2 di destinazione prima dell'esecuzione dell'automazione.

  • StopConsent

    Tipo: String

    Valori validi: Sì | No

    Impostazione predefinita: No

    Descrizione: inserisci Yes per confermare che l'istanza Amazon EC2 di destinazione verrà interrotta durante questa automazione. Quando l'istanza Amazon EC2 viene interrotta, tutti i dati archiviati nella memoria o nei volumi dell'instance store vengono persi e l' IPv4 indirizzo pubblico automatico viene rilasciato. Per ulteriori informazioni, consulta Arrestare e avviare un’istanza nella Guida per l’utente di Amazon EC2.

  • InstanceProfileName

    Tipo: String

    Descrizione: (Facoltativo) Il nome del profilo dell'istanza IAM da collegare all'istanza Helper Amazon EC2. Se non viene fornito, verrà creato automaticamente un profilo di istanza temporaneo con le autorizzazioni richieste. Il profilo dell'istanza personalizzato deve disporre delle autorizzazioni per accedere al segreto Secrets Manager e a Systems Manager specificati.

Autorizzazioni IAM richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

  • ssm:DescribeInstanceInformation

  • ssm:ListTagsForResource

  • ssm:SendCommand

  • ec2:AttachVolume

  • ec2:CreateSnapshot

  • ec2:CreateSnapshots

  • ec2:CreateVolume

  • ec2:DescribeImages

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeSnapshotAttribute

  • ec2:DescribeSnapshots

  • ec2:DescribeSnapshotTierStatus

  • ec2:DescribeVolumes

  • ec2:DescribeVolumeStatus

  • ec2:DetachVolume

  • ec2:RunInstances

  • ec2:StartInstances

  • ec2:StopInstances

  • ec2:TerminateInstances

  • cloudformation:CreateStack

  • cloudformation:DeleteStack

  • cloudformation:DescribeStackResource

  • cloudformation:DescribeStacks

  • cloudformation:ListStacks

  • logs:CreateLogDelivery

  • logs:CreateLogGroup

  • logs:DeleteLogDelivery

  • logs:DeleteLogGroup

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:PutLogEvents

  • iam:GetInstanceProfile

Fasi del documento

  1. aws:branch— Succursali a seconda che tu abbia fornito il consenso all'interruzione dell'istanza Amazon EC2 di destinazione.

  2. aws:assertAwsResourceProperty— Assicura che lo stato dell'istanza Amazon EC2 sia in uno stato running ostopped. In caso contrario, l'automazione termina.

  3. aws:executeAwsApi— Ottiene le proprietà dell'istanza Amazon EC2.

  4. aws:executeAwsApi— Ottiene le proprietà del volume principale.

  5. aws:branch— Suddivide l'automazione a seconda che sia stato fornito un ID di sottorete per l'istanza temporanea di Amazon EC2.

  6. aws:assertAwsResourceProperty— Assicura che la sottorete specificata nel SubnetId parametro si trovi nella stessa zona di disponibilità dell'istanza Amazon EC2 di destinazione.

  7. aws:assertAwsResourceProperty— Assicura che il volume root dell'istanza Amazon EC2 di destinazione sia un volume Amazon EBS.

  8. aws:assertAwsResourceProperty— Assicura che l'architettura dell'istanza Amazon EC2 sia arm64 o. x86_64

  9. aws:assertAwsResourceProperty— Assicura che il comportamento di chiusura dell'istanza Amazon EC2 sia corretto e non corretto. stop terminate

  10. aws:branch— Assicura che l'istanza Amazon EC2 non sia un'istanza Spot. In caso contrario, l'automazione termina.

  11. aws:executeScript— Assicura che l'istanza Amazon EC2 non faccia parte di un gruppo di auto scaling. Se l'istanza fa parte di un gruppo di auto scaling, l'automazione conferma che l'istanza Amazon EC2 è in Standby uno stato del ciclo di vita.

  12. aws:branch— Suddivide l'automazione a seconda che sia stato fornito o meno un nome di profilo di istanza IAM personalizzato

  13. aws:assertAwsResourceProperty— Assicura l'esistenza del profilo di istanza IAM personalizzato e verifica che il nome corrisponda al parametro di input.

  14. aws:createStack— Crea un'istanza Amazon EC2 temporanea che viene utilizzata per reimpostare la password per l'utente del sistema operativo specificato.

  15. aws:waitForAwsResourceProperty— Attende l'esecuzione dell'istanza temporanea Amazon EC2 appena lanciata.

  16. aws:executeAwsApi— Ottiene l'ID dell'istanza temporanea di Amazon EC2.

  17. aws:waitForAwsResourceProperty— Attende che l'istanza temporanea di Amazon EC2 venga riportata come gestita da Systems Manager.

  18. aws:changeInstanceState— Arresta l'istanza Amazon EC2 di destinazione.

  19. aws:changeInstanceState— Forza l'arresto dell'istanza Amazon EC2 di destinazione nel caso in cui rimanga bloccata in uno stato di arresto.

  20. aws:branch— Suddivide l'automazione in base alla richiesta o meno di uno snapshot del volume root dell'istanza Amazon EC2 di destinazione.

  21. aws:executeAwsApi— Crea uno snapshot del volume Amazon EBS root dell'istanza Amazon EC2 di destinazione.

  22. aws:waitForAwsResourceProperty— Attende che lo snapshot sia in uno stato. completed

  23. aws:executeAwsApi— Scollega il volume root di Amazon EBS dall'istanza Amazon EC2 di destinazione.

  24. aws:waitForAwsResourceProperty— Attende che il volume root di Amazon EBS venga scollegato dall'istanza Amazon EC2 di destinazione.

  25. aws:executeAwsApi— Collega il volume root di Amazon EBS all'istanza temporanea di Amazon EC2.

  26. aws:waitForAwsResourceProperty— Attende che il volume root di Amazon EBS venga collegato all'istanza temporanea di Amazon EC2.

  27. aws:runCommand— Reimposta la password dell'utente di destinazione eseguendo uno script di shell utilizzando Run Command sull'istanza temporanea di Amazon EC2.

  28. aws:executeAwsApi— Scollega il volume root di Amazon EBS dall'istanza temporanea di Amazon EC2.

  29. aws:waitForAwsResourceProperty— Attende che il volume root di Amazon EBS venga scollegato dall'istanza temporanea di Amazon EC2.

  30. aws:executeAwsApi— Scollega il volume root di Amazon EBS dall'istanza temporanea di Amazon EC2 dopo un errore.

  31. aws:waitForAwsResourceProperty— Attende che il volume root di Amazon EBS venga scollegato dall'istanza temporanea di Amazon EC2 dopo un errore.

  32. aws:branch— Suddivide l'automazione a seconda che sia stata richiesta o meno un'istantanea del volume root per determinare il percorso di ripristino in caso di errore.

  33. aws:executeAwsApi— Ricollega il volume Amazon EBS root all'istanza Amazon EC2 di destinazione.

  34. aws:waitForAwsResourceProperty— Attende che il volume root di Amazon EBS venga collegato all'istanza Amazon EC2.

  35. aws:executeAwsApi— Crea un nuovo volume Amazon EBS dallo snapshot del volume root dell'istanza Amazon EC2 di destinazione.

  36. aws:waitForAwsResourceProperty— Attende che il nuovo volume Amazon EBS sia in uno available stato.

  37. aws:executeAwsApi— Collega il nuovo volume Amazon EBS all'istanza di destinazione come volume root.

  38. aws:waitForAwsResourceProperty— Attende che il volume Amazon EBS si trovi in uno attached stato.

  39. aws:executeAwsApi— Descrive gli eventi CloudFormation dello stack se i runbook non riescono a creare o aggiornare lo stack. CloudFormation

  40. aws:branch— Suddivide l'automazione in base allo stato precedente dell'istanza Amazon EC2. Se lo stato erarunning, l'istanza viene avviata. Se era in uno stopped stato, l'automazione continua.

  41. aws:changeInstanceState— Avvia l'istanza Amazon EC2, se necessario.

  42. aws:waitForAwsResourceProperty— Attende che lo CloudFormation stack assuma lo stato di terminale prima di eliminarlo.

  43. aws:executeAwsApi— Elimina lo CloudFormation stack, inclusa l'istanza temporanea di Amazon EC2.