Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # `AWSSupport-GrantPermissionsToIAMUser` **Descripción** Este manual de procedimientos concede los permisos especificados a un grupo de IAM (nuevo o existente) y añade el usuario de IAM existente. Las políticas que puede elegir: [Billing](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/job-function/Billing$serviceLevelSummary) o [Support](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSSupportAccess$serviceLevelSummary). Para habilitar el acceso de facturación para IAM, recuerde activar también el [acceso del usuario de IAM y del usuario federado a las páginas de facturación y administración de costos](https://docs.aws.amazon.com/console/iam/billing-enable). **importante** Si proporciona un grupo de IAM existente, todos los usuarios actuales de IAM en el grupo de reciben los nuevos permisos. [Ejecuta esta automatización (consola)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-GrantPermissionsToIAMUser) **Tipo de documento** Automatización **Propietario** Amazon **Plataformas** Linux, macOS, Windows **Parámetros** + AutomationAssumeRole Tipo: cadena Descripción: (opcional) el Nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos. + IAMGroupNombre Tipo: cadena Predeterminado: ExampleSupportAndBillingGroup Descripción: (obligatorio) puede ser un grupo nuevo o existente. Debe cumplir con [Límites de nombres de entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html#reference_iam-limits-names). + IAMUserNombre Tipo: cadena Predeterminado: ExampleUser Descripción: (obligatorio) debe ser un usuario existente. + LambdaAssumeRole Tipo: cadena Descripción: (opcional) el ARN del rol asumido por Lambda. + Permisos Tipo: cadena Valores válidos: SupportFullAccess \$1 BillingFullAccess \$1 SupportAndBillingFullAccess Predeterminado: SupportAndBillingFullAccess Descripción: (obligatorio) elija una de estas opciones: `SupportFullAccess` concede acceso completo al centro de soporte \$1 `BillingFullAccess` concede acceso completo al panel de facturación \$1 `SupportAndBillingFullAccess` concede acceso completo tanto al centro de soporte como al panel de facturación. Más información sobre las políticas en Detalles del documento. **Permisos de IAM necesarios** El parámetro `AutomationAssumeRole` requiere las siguientes acciones para utilizar el manual de procedimientos correctamente. Los permisos necesarios dependen de cómo se ejecute `AWSSupport-GrantPermissionsToIAMUser`. **En ejecución como usuario o rol que ha iniciado sesión actualmente** Se recomienda tener asociada la política administrada `AmazonSSMAutomationRole` de Amazon y los siguientes permisos adicionales para poder crear la función de Lambda y el rol de IAM que pasar a Lambda: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "lambda:InvokeFunction", "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:GetFunction" ], "Resource": "arn:aws:lambda:*:111122223333:function:AWSSupport-*", "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "iam:CreateGroup", "iam:AddUserToGroup", "iam:ListAttachedGroupPolicies", "iam:GetGroup", "iam:GetUser" ], "Resource": [ "arn:aws:iam::*:user/*", "arn:aws:iam::*:group/*" ] }, { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy" ], "Resource": "*", "Condition": { "ArnEquals": { "iam:PolicyArn": [ "arn:aws:iam::aws:policy/job-function/Billing", "arn:aws:iam::aws:policy/AWSSupportAccess" ] } } }, { "Effect": "Allow", "Action": [ "iam:ListAccountAliases", "iam:GetAccountSummary" ], "Resource": "*" } ] } ``` ------ **Uso AutomationAssumeRole y LambdaAssumeRole** El usuario debe tener los StartAutomationExecution permisos **ssm:** en el runbook e **iam: PassRole en las funciones de IAM** transferidas como y. **AutomationAssumeRole**LambdaAssumeRole**** A continuación se incluyen los permisos que necesita cada rol de IAM: ``` AutomationAssumeRole { "Version": "2012-10-17", "Statement": [ { "Action": [ "lambda:InvokeFunction", "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:GetFunction" ], "Resource": "arn:aws:lambda:*:ACCOUNTID:function:AWSSupport-*", "Effect": "Allow" } ] } ``` ``` LambdaAssumeRole { "Version": "2012-10-17", "Statement": [ { "Effect" : "Allow", "Action" : [ "iam:CreateGroup", "iam:AddUserToGroup", "iam:ListAttachedGroupPolicies", "iam:GetGroup", "iam:GetUser" ], "Resource" : [ "arn:aws:iam::*:user/*", "arn:aws:iam::*:group/*" ] }, { "Effect" : "Allow", "Action" : [ "iam:AttachGroupPolicy" ], "Resource": "*", "Condition": { "ArnEquals": { "iam:PolicyArn": [ "arn:aws:iam::aws:policy/job-function/Billing", "arn:aws:iam::aws:policy/AWSSupportAccess" ] } } }, { "Effect" : "Allow", "Action" : [ "iam:ListAccountAliases", "iam:GetAccountSummary" ], "Resource" : "*" } ] } ``` **Pasos de documentos** 1. `aws:createStack`- Ejecute la CloudFormation plantilla para crear una función Lambda. 1. `aws:invokeLambdaFunction`: para configurar permisos de IAM para Lambda. 1. `aws:deleteStack`- Eliminar CloudFormation plantilla. **Salidas** configureIAM.Payload