Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # `AWSSupport-GrantPermissionsToIAMUser` **Deskripsi** Runbook ini memberikan izin yang ditentukan ke grup IAM (baru atau yang sudah ada), dan menambahkan pengguna IAM yang ada ke dalamnya. Kebijakan yang dapat Anda pilih: [Billing](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/job-function/Billing$serviceLevelSummary) atau [Support](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSSupportAccess$serviceLevelSummary). Untuk mengaktifkan akses penagihan untuk IAM, ingatlah untuk juga mengaktifkan pengguna [IAM dan akses pengguna gabungan ke halaman Billing and Cost Management](https://docs.aws.amazon.com/console/iam/billing-enable). **penting** Jika Anda menyediakan grup IAM yang ada, semua pengguna IAM saat ini dalam grup menerima izin baru. [Jalankan Otomasi ini (konsol)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-GrantPermissionsToIAMUser) **Jenis dokumen** Otomatisasi **Pemilik** Amazon **Platform** Linux,macOS, Windows **Parameter** + AutomationAssumeRole Tipe: String Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini. + IAMGroupNama Tipe: String Default: ExampleSupportAndBillingGroup Deskripsi: (Wajib) Dapat berupa grup baru atau yang sudah ada. Harus mematuhi [Batas Nama Entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html#reference_iam-limits-names). + IAMUserNama Tipe: String Default: ExampleUser Deskripsi: (Wajib) Harus pengguna yang sudah ada. + LambdaAssumeRole Tipe: String Deskripsi: (Opsional) ARN dari peran yang diasumsikan oleh lambda. + Izin Tipe: String Nilai yang valid: SupportFullAccess \$1 BillingFullAccess \$1 SupportAndBillingFullAccess Default: SupportAndBillingFullAccess Deskripsi: (Wajib) Pilih salah satu dari: `SupportFullAccess` memberikan akses penuh ke pusat Support. `BillingFullAccess`memberikan akses penuh ke dasbor Penagihan. `SupportAndBillingFullAccess`memberikan akses penuh ke Pusat Dukungan dan dasbor Penagihan. Info lebih lanjut tentang kebijakan di bawah Detail dokumen. **Izin IAM yang diperlukan** `AutomationAssumeRole`Parameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses. Izin yang diperlukan tergantung pada bagaimana `AWSSupport-GrantPermissionsToIAMUser` dijalankan. **Berjalan sebagai pengguna atau peran yang saat ini masuk** Sebaiknya Anda melampirkan kebijakan terkelola `AmazonSSMAutomationRole` Amazon, dan izin tambahan berikut untuk dapat membuat fungsi Lambda dan peran IAM untuk diteruskan ke Lambda: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "lambda:InvokeFunction", "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:GetFunction" ], "Resource": "arn:aws:lambda:*:111122223333:function:AWSSupport-*", "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "iam:CreateGroup", "iam:AddUserToGroup", "iam:ListAttachedGroupPolicies", "iam:GetGroup", "iam:GetUser" ], "Resource": [ "arn:aws:iam::*:user/*", "arn:aws:iam::*:group/*" ] }, { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy" ], "Resource": "*", "Condition": { "ArnEquals": { "iam:PolicyArn": [ "arn:aws:iam::aws:policy/job-function/Billing", "arn:aws:iam::aws:policy/AWSSupportAccess" ] } } }, { "Effect": "Allow", "Action": [ "iam:ListAccountAliases", "iam:GetAccountSummary" ], "Resource": "*" } ] } ``` ------ **Menggunakan AutomationAssumeRole dan LambdaAssumeRole** Pengguna harus memiliki StartAutomationExecution izin **ssm:** di runbook, dan **iam: pada peran IAM PassRole diteruskan** sebagai dan. **AutomationAssumeRole**LambdaAssumeRole**** Berikut adalah izin yang dibutuhkan setiap peran IAM: ``` AutomationAssumeRole { "Version": "2012-10-17", "Statement": [ { "Action": [ "lambda:InvokeFunction", "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:GetFunction" ], "Resource": "arn:aws:lambda:*:ACCOUNTID:function:AWSSupport-*", "Effect": "Allow" } ] } ``` ``` LambdaAssumeRole { "Version": "2012-10-17", "Statement": [ { "Effect" : "Allow", "Action" : [ "iam:CreateGroup", "iam:AddUserToGroup", "iam:ListAttachedGroupPolicies", "iam:GetGroup", "iam:GetUser" ], "Resource" : [ "arn:aws:iam::*:user/*", "arn:aws:iam::*:group/*" ] }, { "Effect" : "Allow", "Action" : [ "iam:AttachGroupPolicy" ], "Resource": "*", "Condition": { "ArnEquals": { "iam:PolicyArn": [ "arn:aws:iam::aws:policy/job-function/Billing", "arn:aws:iam::aws:policy/AWSSupportAccess" ] } } }, { "Effect" : "Allow", "Action" : [ "iam:ListAccountAliases", "iam:GetAccountSummary" ], "Resource" : "*" } ] } ``` **Langkah Dokumen** 1. `aws:createStack`- Jalankan CloudFormation Template untuk membuat fungsi Lambda. 1. `aws:invokeLambdaFunction`- Jalankan Lambda untuk mengatur izin IAM. 1. `aws:deleteStack`- Hapus CloudFormation Template. **Keluaran** Configureiam.payload