Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # `AWSSupport-GrantPermissionsToIAMUser` **Beschreibung** Dieses Runbook gewährt einer IAM-Gruppe (neu oder bereits vorhanden) die angegebenen Berechtigungen und fügt der Gruppe den vorhandenen IAM-Benutzer hinzu. Zur Auswahl stehende Richtlinien: [Fakturierung](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/job-function/Billing$serviceLevelSummary) oder [Support](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSSupportAccess$serviceLevelSummary). Denken Sie zur Aktivierung des Fakturierungszugriffs für IAM auch an die Aktivierung des [Zugriffs von IAM-Benutzern und verbundenen Benutzern auf die Fakturierungs- und Kostenmanagement-Seiten](https://docs.aws.amazon.com/console/iam/billing-enable). **Wichtig** Wenn Sie eine vorhandene IAM-Gruppe bereitstellen, erhalten alle aktuellen IAM-Benutzer in der Gruppe die neuen Berechtigungen. [Führen Sie diese Automatisierung aus (Konsole)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-GrantPermissionsToIAMUser) **Art des Dokuments** Automatisierung **Eigentümer** Amazon **Plattformen** Linux,macOS, Windows **Parameter** + AutomationAssumeRole Typ: Zeichenfolge Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, mit der Systems Manager Automation die Aktionen in Ihrem Namen ausführen kann. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet. + IAMGroupName Typ: Zeichenfolge Standard: ExampleSupportAndBillingGroup Beschreibung: (Erforderlich). Dabei kann es sich um eine neue oder vorhandene Gruppe handeln. Muss mit [Einschränkungen für IAM-Entitätsnamen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html#reference_iam-limits-names) übereinstimmen. + IAMUserName Typ: Zeichenfolge Standard: ExampleUser Beschreibung: (Erforderlich) Es muss sich um einen vorhandenen Benutzer handeln. + LambdaAssumeRole Typ: Zeichenfolge Beschreibung: (Optional) Der ARN der Rolle, die Lambda annimmt. + Berechtigungen Typ: Zeichenfolge Gültige Werte: SupportFullAccess \$1 BillingFullAccess \$1 SupportAndBillingFullAccess Standard: SupportAndBillingFullAccess Beschreibung: (Erforderlich) Wählen Sie eine der folgenden Optionen: `SupportFullAccess` Gewährt vollen Zugriff auf das Support Center. `BillingFullAccess`gewährt vollen Zugriff auf das Abrechnungs-Dashboard. `SupportAndBillingFullAccess`gewährt vollen Zugriff auf das Support Center und das Abrechnungs-Dashboard. Weitere Informationen zu den Richtlinien finden Sie unter „Dokumentdetails“. **Erforderliche IAM-Berechtigungen** Der `AutomationAssumeRole` Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden. Die erforderlichen Berechtigungen hängen davon ab, wie `AWSSupport-GrantPermissionsToIAMUser` das Programm ausgeführt wird. **Wird als der aktuell angemeldete Benutzer oder die aktuell angemeldete Rolle ausgeführt** Es wird empfohlen, die von `AmazonSSMAutomationRole` Amazon verwaltete Richtlinie und die folgenden zusätzlichen Berechtigungen beizufügen, um die Lambda-Funktion und die IAM-Rolle für die Übergabe an Lambda erstellen zu können: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "lambda:InvokeFunction", "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:GetFunction" ], "Resource": "arn:aws:lambda:*:111122223333:function:AWSSupport-*", "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "iam:CreateGroup", "iam:AddUserToGroup", "iam:ListAttachedGroupPolicies", "iam:GetGroup", "iam:GetUser" ], "Resource": [ "arn:aws:iam::*:user/*", "arn:aws:iam::*:group/*" ] }, { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy" ], "Resource": "*", "Condition": { "ArnEquals": { "iam:PolicyArn": [ "arn:aws:iam::aws:policy/job-function/Billing", "arn:aws:iam::aws:policy/AWSSupportAccess" ] } } }, { "Effect": "Allow", "Action": [ "iam:ListAccountAliases", "iam:GetAccountSummary" ], "Resource": "*" } ] } ``` ------ **Verwenden von und AutomationAssumeRole LambdaAssumeRole** Der Benutzer muss über die StartAutomationExecution Berechtigungen **ssm:** für das Runbook und über **PassRoleiam: für die IAM-Rollen** verfügen, die als und übergeben wurden. **AutomationAssumeRole**LambdaAssumeRole**** Hier finden Sie die Berechtigungen, die die einzelnen IAM-Rollen benötigen: ``` AutomationAssumeRole { "Version": "2012-10-17", "Statement": [ { "Action": [ "lambda:InvokeFunction", "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:GetFunction" ], "Resource": "arn:aws:lambda:*:ACCOUNTID:function:AWSSupport-*", "Effect": "Allow" } ] } ``` ``` LambdaAssumeRole { "Version": "2012-10-17", "Statement": [ { "Effect" : "Allow", "Action" : [ "iam:CreateGroup", "iam:AddUserToGroup", "iam:ListAttachedGroupPolicies", "iam:GetGroup", "iam:GetUser" ], "Resource" : [ "arn:aws:iam::*:user/*", "arn:aws:iam::*:group/*" ] }, { "Effect" : "Allow", "Action" : [ "iam:AttachGroupPolicy" ], "Resource": "*", "Condition": { "ArnEquals": { "iam:PolicyArn": [ "arn:aws:iam::aws:policy/job-function/Billing", "arn:aws:iam::aws:policy/AWSSupportAccess" ] } } }, { "Effect" : "Allow", "Action" : [ "iam:ListAccountAliases", "iam:GetAccountSummary" ], "Resource" : "*" } ] } ``` **Dokumentschritte** 1. `aws:createStack`- Führen Sie CloudFormation Template aus, um eine Lambda-Funktion zu erstellen. 1. `aws:invokeLambdaFunction`- Führen Sie Lambda aus, um IAM-Berechtigungen festzulegen. 1. `aws:deleteStack`- Vorlage löschen CloudFormation . **Ausgaben** configureIAM.Payload