Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# `AWSSupport-ContainIAMPrincipal`
**Deskripsi**
Jika terjadi insiden keamanan atau dugaan kompromi dari pengguna AWS Identity and Access Management (IAM) Pengguna/Peran atau Pusat AWS Identitas (IDC), isolasi cepat identitas yang terpengaruh sangat penting sambil mempertahankan konfigurasinya untuk penyelidikan. `AWSSupport-ContainIAMPrincipal`Runbook menyediakan pendekatan terstruktur dan reversibel untuk memuat identitas IAM atau IDC yang dikompromikan, secara efektif memblokir akses mereka ke AWS sumber daya dan mencegah potensi penyebaran kompromi.
Proses otomatis ini memungkinkan investigasi tanpa perubahan permanen konfigurasi identitas, memungkinkan pemulihan akses normal bila dianggap tepat. Proses penahanan mempertahankan pengguna atau peran dalam IAM atau pengguna dalam IDC, sementara secara efektif mengisolasinya dari semua aktivitas jaringan. Isolasi ini mencegah sumber daya identitas yang terkandung berkomunikasi dengan sumber daya di dalam Amazon Virtual Private Cloud Anda atau mengakses sumber daya internet. Penahanan dirancang agar dapat dibalik, memungkinkan pemulihan akses normal bila dianggap tepat.
**Bagaimana cara kerjanya?**
`AWSSupport-ContainIAMPrincipal`Runbook mengimplementasikan proses penahanan yang komprehensif untuk pengguna IAM, peran, dan pengguna Pusat Identitas. Saat dijalankan dalam `Contain` mode, pertama-tama memvalidasi semua parameter input dan melakukan pemeriksaan keamanan pada bucket Amazon S3 yang ditentukan. Kemudian mengumpulkan informasi rinci tentang target utama IAM dan menerapkan langkah-langkah penahanan yang sesuai berdasarkan jenis utama. Untuk pengguna IAM, ini menonaktifkan kunci akses, menghapus akses konsol, dan melampirkan kebijakan penolakan. Untuk peran IAM, ini melampirkan kebijakan penolakan yang mencabut izin untuk sesi yang dibuat sebelum penahanan. Untuk pengguna Pusat Identitas, ini menghapus set izin, keanggotaan grup, dan menerapkan kebijakan penolakan. Sepanjang proses, runbook mencadangkan konfigurasi asli ke bucket Amazon S3 untuk potensi pemulihan. Saat dijalankan dalam `Restore` mode, ia mencoba mengembalikan prinsipal ke status pra-penahanannya menggunakan konfigurasi yang dicadangkan. Runbook menyertakan `DryRun` opsi untuk melihat pratinjau perubahan tanpa menerapkannya, dan menyediakan pelaporan komprehensif tentang operasi yang berhasil dan skenario kegagalan.
**penting**
**Penggunaan Hak Istimewa Tinggi:** Dokumen SSM ini melakukan berbagai operasi yang memerlukan hak istimewa yang lebih tinggi, seperti memodifikasi kebijakan identitas IAM dan IDC dan menerapkan konfigurasi karantina. Tindakan ini berpotensi menyebabkan eskalasi hak istimewa atau berdampak pada beban kerja lain yang bergantung pada identitas yang ditargetkan. Anda harus meninjau izin yang diberikan untuk peran yang ditentukan oleh `AutomationAssumeRole` parameter dan memastikannya sesuai untuk kasus penggunaan yang dimaksudkan. Anda dapat merujuk ke AWS dokumentasi berikut untuk informasi lebih lanjut tentang izin IAM:
[Izin Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_permissions.html)
[AWS Izin Otomasi Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-permissions.html)
**Risiko Ketidaktersediaan Beban Kerja:** Dokumen Systems Manager ini melakukan tindakan isolasi yang berpotensi menyebabkan tidak tersedianya atau gangguan pada beban kerja Anda. Ketika dijalankan selama peristiwa keamanan, itu akan membatasi akses ke sumber daya yang terpengaruh dengan mencabut izin AWS API dari identitas IAM dan IDC yang ditentukan, mencegah mereka melakukan panggilan atau tindakan API apa pun. AWS Ini dapat memengaruhi aplikasi atau layanan apa pun yang bergantung pada identitas ini.
**Pembuatan Sumber Daya Tambahan:** Dokumen otomatisasi dapat membuat sumber daya tambahan secara kondisional, seperti bucket Amazon Simple Storage Service (Amazon S3) dan objek Amazon S3 yang disimpan di dalamnya, tergantung pada parameter eksekusi. Sumber daya ini akan dikenakan biaya tambahan berdasarkan AWS penggunaan Anda.
**Risiko Restorasi:** Jika parameter *Action* disetel ke`Restore`, dokumen SSM ini mencoba mengembalikan konfigurasi identitas IAM atau IDC ke keadaan semula. Namun, ada risiko bahwa proses restorasi mungkin gagal, meninggalkan identitas IAM atau IDC dalam keadaan tidak konsisten. Dokumen ini memberikan instruksi untuk restorasi manual jika terjadi kegagalan tersebut, tetapi Anda harus siap untuk menangani masalah potensial selama proses restorasi.
Disarankan untuk meninjau runbook secara menyeluruh, memahami potensi dampaknya, dan mengujinya di lingkungan non-produksi sebelum menjalankannya di lingkungan produksi Anda.
[Jalankan Otomasi ini (konsol)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ContainIAMPrincipal)
**Jenis dokumen**
Otomatisasi
**Pemilik**
Amazon
**Platform**
/
**Izin IAM yang diperlukan**
`AutomationAssumeRole`Parameter memerlukan izin berikut agar berhasil menggunakan runbook:
+ s3: GetBucketLocation
+ s3: GetBucket
+ s3: ListBucket
+ s3: GetBucketPublicAccessBlocks
+ s3: GetAccountPublicAccessBlocks
+ s3: GetBucketPolicyStatus
+ s3: GetBucketAcl
+ s3: GetObject
+ s3: CreateBucket
+ s3: PutObject
+ saya: GetUser
+ saya: GetUserPolicy
+ saya: GetRole
+ saya: ListUserPolicies
+ saya: ListAttachedUserPolicies
+ saya: ListAccessKeys
+ saya: ListMfaDevices
+ saya: ListVirtual MFADevices
+ saya: GetLoginProfile
+ saya: GetPolicy
+ saya: GetRolePolicy
+ saya: ListPolicies
+ saya: ListAttachedRolePolicies
+ saya: ListRolePolicies
+ saya: UpdateAccessKey
+ saya: CreateAccessKey
+ saya: DeleteLoginProfile
+ saya: DeleteAccessKey
+ saya: PutUserPolicy
+ saya: DeleteUserPolicy
+ iam:Nonaktifkan MFADevice
+ saya: AttachRolePolicy
+ saya: AttachUserPolicy
+ saya: DeleteRolePolicy
+ Iam:Tag MFADevice
+ saya: PutRolePolicy
+ saya: TagPolicy
+ saya: TagRole
+ saya: TagUser
+ saya: UntagUser
+ saya: UntagRole
+ organisasi: ListAccounts
+ sso: ListPermissionSetsProvisionedToAccount
+ sso: GetInlinePolicyForPermissionSet
+ sso: ListInstances
+ sso-direktori: SearchUsers
+ sso: ListPermissionSets
+ sso: ListAccountAssignments
+ sso-direktori: DescribeUser
+ toko identitas: ListUsers
+ toko identitas: ListGroups
+ toko identitas: IsMemberInGroups
+ toko identitas: ListGroupMemberships
+ manajer rahasia: CreateSecret
+ manajer rahasia: DeleteSecret
+ sso: DeleteAccountAssignment
+ sso: PutInlinePolicyToPermissionSet
+ sso: CreateAccountAssignment
+ sso: DeleteInlinePolicyFromPermissionSet
+ sso: TagResource
+ sso: UntagResource
+ toko identitas: DeleteGroupMembership
+ toko identitas: CreateGroupMembership
Berikut adalah contoh kebijakan IAM yang memberikan izin yang diperlukan untuk: `AutomationAssumeRole`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Permissions",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketPolicyStatus",
"s3:GetBucketAcl",
"s3:GetObject",
"s3:CreateBucket",
"s3:PutObject"
],
"Resource": "*"
},
{
"Sid": "IAMPermissions",
"Effect": "Allow",
"Action": [
"iam:GetUser",
"iam:GetUserPolicy",
"iam:GetRole",
"iam:ListUserPolicies",
"iam:ListAttachedUserPolicies",
"iam:ListAccessKeys",
"iam:ListMfaDevices",
"iam:ListVirtualMFADevices",
"iam:GetLoginProfile",
"iam:GetPolicy",
"iam:GetRolePolicy",
"iam:ListPolicies",
"iam:ListAttachedRolePolicies",
"iam:ListRolePolicies",
"iam:UpdateAccessKey",
"iam:CreateAccessKey",
"iam:DeleteLoginProfile",
"iam:DeleteAccessKey",
"iam:PutUserPolicy",
"iam:DeleteUserPolicy",
"iam:DeactivateMFADevice",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DeleteRolePolicy",
"iam:TagMFADevice",
"iam:PutRolePolicy",
"iam:TagPolicy",
"iam:TagRole",
"iam:TagUser",
"iam:UntagUser",
"iam:UntagRole"
],
"Resource": "*"
},
{
"Sid": "OrganizationsPermissions",
"Effect": "Allow",
"Action": [
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Sid": "SSOPermissions",
"Effect": "Allow",
"Action": [
"sso:ListPermissionSetsProvisionedToAccount",
"sso:GetInlinePolicyForPermissionSet",
"sso:ListInstances",
"sso-directory:SearchUsers",
"sso:ListPermissionSets",
"sso:ListAccountAssignments",
"sso-directory:DescribeUser",
"sso:DeleteAccountAssignment",
"sso:PutInlinePolicyToPermissionSet",
"sso:CreateAccountAssignment",
"sso:DeleteInlinePolicyFromPermissionSet",
"sso:TagResource",
"sso:UntagResource"
],
"Resource": "*"
},
{
"Sid": "IdentityStorePermissions",
"Effect": "Allow",
"Action": [
"identitystore:ListUsers",
"identitystore:ListGroups",
"identitystore:IsMemberInGroups",
"identitystore:ListGroupMemberships",
"identitystore:DeleteGroupMembership",
"identitystore:CreateGroupMembership"
],
"Resource": "*"
},
{
"Sid": "SecretsManagerPermissions",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:DeleteSecret"
],
"Resource": "*"
}
]
}
```
------
**Instruksi**
Ikuti langkah-langkah ini untuk mengonfigurasi otomatisasi:
1. Arahkan ke [AWSSupport-ContainIAMPrincipal](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ContainIAMPrincipal/description)konsol AWS Systems Manager.
1. Pilih **Jalankan otomatisasi.**
1. Untuk parameter input, masukkan yang berikut ini:
+ **AutomationAssumeRole (Opsional):**
+ Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.
+ Tipe: `AWS::IAM::Role::Arn`
+ **PrincipalType (Diperlukan):**
+ Deskripsi: (Wajib) Tipe utama AWS IAM: pengguna IAM, peran IAM, atau pengguna Pusat Identitas.
+ Tipe: String
+ Nilai yang Diizinkan: `IAM user|IAM role|Identity Center user`
+ **PrincipalName (Diperlukan):**
+ Keterangan: (Wajib) Nama kepala sekolah IAM. Untuk pengguna Pusat Identitas, berikan nama pengguna.
+ Tipe: String
+ Pola yang Diizinkan: `^[a-zA-Z0-9\\.\\-_\\\\!*'()/+=,@]{1,1024}$`
+ **Tindakan (Diperlukan):**
+ Deskripsi: (Wajib) Pilih `Contain` untuk mengisolasi prinsipal IAM target atau `Restore` mencoba mengembalikan prinsipal IAM ke konfigurasi aslinya dari cadangan sebelumnya.
+ Tipe: String
+ Nilai yang Diizinkan: `Contain|Restore`
+ **DryRun (Opsional):**
+ Deskripsi: (Opsional) Saat disetel ke`true`, otomatisasi tidak akan membuat perubahan apa pun pada prinsipal IAM target, melainkan akan menghasilkan apa yang akan dicoba diubah, merinci setiap langkah. Nilai default:`true`.
+ Jenis: Boolean
+ Nilai yang Diizinkan: `true|false`
+ **ActivateDisabledKeys(Bersyarat):**
+ Deskripsi: (Bersyarat) Jika parameter input Tindakan diatur ke `Restore` dan diatur ke pengguna IAM, opsi ini menentukan apakah otomatisasi ini harus mencoba mengaktifkan kunci akses terkait jika dinonaktifkan. PrincipalType Harap dicatat bahwa integritas kunci akses yang dikompromikan tidak dapat diverifikasi. AWS sangat merekomendasikan untuk tidak mengaktifkan kembali kunci yang dikompromikan. Sebagai gantinya, disarankan untuk membuat kunci baru. Nilai default:`false`.
+ Jenis: Boolean
+ Nilai yang Diizinkan: `true|false`
+ **Backups3 BucketName (Bersyarat):**
+ Deskripsi: (Bersyarat) Bucket Amazon S3 Amazon untuk mencadangkan konfigurasi utama IAM saat Tindakan disetel `Contain` ke atau memulihkan konfigurasi dari saat Tindakan dilakukan. `Restore` Perhatikan bahwa jika Action yang ditentukan adalah `Contain` dan runbook tidak dapat mengakses bucket atau nilai tidak disediakan, bucket baru akan dibuat di akun Anda dengan nama `awssupport-containiamprincipal-` tersebut. Jika DryRun diatur ke parameter `true` ini diperlukan.
+ Tipe: `AWS::S3::Bucket::Name`
+ **Backups3 KeyName (Bersyarat):**
+ Deskripsi: (Bersyarat) Jika Tindakan disetel ke`Restore`, ini menentukan kunci Amazon Amazon S3 yang akan digunakan otomatisasi untuk mencoba memulihkan konfigurasi utama IAM. Kunci Amazon Amazon S3 biasanya mengikuti format ini:. `{year}/{month}/{day}/{hour}/{minute}/{automation_execution_id}.json` Kuncinya dapat diperoleh dari output eksekusi otomatisasi penahanan sebelumnya.
+ Tipe: String
+ Pola yang Diizinkan: `^[a-zA-Z0-9\\.\\-_\\\\!*'()/]{0,1024}$`
+ **Backups3 BucketAccess (Bersyarat):**
+ Deskripsi: (Bersyarat) ARN pengguna IAM atau peran yang akan diizinkan mengakses bucket Amazon Amazon S3 cadangan setelah menjalankan tindakan penahanan. Parameter ini diperlukan saat Action`Contain`. AutomationAssumeRole, atau jika tidak ada pengguna yang konteksnya otomatisasi berjalan secara otomatis ditambahkan ke daftar.
+ Jenis: StringList
+ Pola yang Diizinkan: `^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::[0-9]{12}:(role|user)\\/[\\w+\\/=,.@-]+$`
+ **TagIdentifier (Opsional):**
+ Deskripsi: (Opsional) Tandai prinsipal IAM dengan tag pilihan Anda menggunakan format berikut:`Key=,Value=`. Opsi ini memungkinkan Anda untuk melacak prinsip-prinsip IAM yang telah ditargetkan oleh runbook ini. **Catatan:** Kunci dan nilai tag peka huruf besar/kecil.
+ Tipe: String
+ Pola yang Diizinkan: `^$|^[Kk][Ee][Yy]=[\\+\\-\\=\\.\\_\\:\\/@a-zA-Z0-9]{1,128},[Vv][Aa][Ll][Uu][Ee]=[\\+\\-\\=\\.\\_\\:\\/@a-zA-Z0-9]{0,128}$`
1. Pilih Jalankan.
1. Otomatisasi dimulai.
1. Dokumen melakukan langkah-langkah berikut:
+ **ValidateRequiredInputs**
Memvalidasi parameter input otomatisasi yang diperlukan berdasarkan yang `Action` ditentukan.
+ **CheckBackupS3 BucketName**
Memeriksa apakah bucket Amazon S3 target berpotensi memberikan `read` atau akses `write` publik ke objeknya. Dalam hal alur kerja penahanan, bucket Amazon Amazon S3 baru dibuat jika `BackupS3BucketName` bucket tidak ada.
+ **BranchOnAction**
Cabang otomatisasi berdasarkan nilai yang ditentukan`Action`.
+ **BranchOnPrincipalTypeAndDryRun**
Cabang otomatisasi berdasarkan jenis prinsipal IAM (pengguna IAM, peran IAM, atau pengguna Pusat Identitas) dan jika berjalan dalam mode. `DryRun`
+ **BranchOnPrincipalTypeForContain**
Cabang otomatisasi untuk berbasis `Contain` tindakan dan tipe utama IAM (pengguna IAM, peran IAM, atau pengguna Pusat Identitas) yang ditentukan dalam input.
+ **Dapatkan IAMUser**
Mendapat waktu pembuatan dan nama pengguna pengguna IAM target.
+ **Dapatkan IAMUser Detail**
Mendapatkan dan menyimpan konfigurasi pengguna IAM target, termasuk kebijakan inline, kebijakan terkelola, kunci akses, perangkat MFA, dan profil login.
+ **Pembaruan3 KeyForUser**
Memperbarui variabel otomatisasi 'S3Key' dari output langkah. `GetIAMUserDetails`
+ **Dapatkan IAMRole**
Mendapat waktu pembuatan, nama peran, dan jalur peran IAM target.
+ **Dapatkan IAMRole Detail**
Mendapatkan dan menyimpan konfigurasi peran IAM target, termasuk kebijakan inline dan kebijakan terkelola yang dilampirkan pada peran tersebut.
+ **Pembaruan3 KeyForRole**
Memperbarui variabel otomatisasi 'S3Key' dari output langkah. `GetIAMRoleDetails`
+ **GetIdentityStoreId**
Mendapat ID dari instans Pusat AWS Identitas IAM yang terkait dengan AWS akun.
+ **Dapatkan IDCUser**
Mendapatkan ID pengguna pengguna Pusat Identitas target menggunakan ID Toko Identitas.
+ **Kumpulkan IDCUser Detail**
Mendapatkan dan menyimpan konfigurasi pengguna Pusat Identitas target, termasuk penetapan akun, set izin terkait, dan kebijakan inline.
+ **Pembaruan3 KeyFor IDCUser**
Memperbarui variabel otomatisasi 'S3Key' dari output langkah. `GatherIDCUserDetails`
+ **BranchOnIdentityContain**
Cabang otomatisasi berdasarkan nilai `DryRun` dan tipe utama IAM untuk `Contain` tindakan tersebut.
+ **BranchOnDisableAccessKeys**
Cabang otomatisasi berdasarkan apakah pengguna IAM memiliki kunci akses yang perlu dinonaktifkan.
+ **DisableAccessKeys**
Menonaktifkan kunci akses pengguna IAM aktif.
+ **BranchOnDisableConsoleAccess**
Cabang berdasarkan apakah pengguna IAM mengaktifkan akses AWS Management Console atau tidak.
+ **DisableConsoleAccess**
Menghapus akses berbasis kata sandi pengguna IAM ke Konsol Manajemen. AWS
+ **AttachInlineDenyPolicyToUser**
Melampirkan kebijakan penolakan ke pengguna IAM untuk mencabut izin untuk token sesi yang lebih lama.
+ **AttachInlineDenyPolicyToRole**
Melampirkan kebijakan penolakan ke peran IAM untuk mencabut izin untuk token sesi yang lebih lama.
+ **RemovePermissionSets**
Menghapus set izin yang terkait dengan pengguna Pusat Identitas.
+ **Hapus IDCUser Dari IDCGroups**
Menghapus pengguna Pusat Identitas dari grup Pusat Identitas.
+ **AttachInlineDenyPolicyToPermissionSet**
Melampirkan kebijakan penolakan ke set izin yang terkait dengan pengguna Pusat Identitas.
+ **BranchOnReactivateKeys**
Cabang otomatisasi berdasarkan `ActivateDisabledKeys` parameter selama proses pemulihan.
+ **DetachInlineDenyPolicy**
Menghapus kebijakan penolakan yang dilampirkan pada peran IAM selama proses penahanan.
+ **DetachInlineDenyPolicyFromPermissionSet**
Menghapus kebijakan penolakan yang dilampirkan pada set izin selama proses penahanan.
+ **ReportContain**
Mengeluarkan informasi rinci tentang tindakan penahanan yang akan dilakukan ketika `DryRun` diatur ke. `True`
+ **ReportRestore**
Mengeluarkan informasi rinci tentang tindakan restorasi yang akan dilakukan ketika `DryRun` diatur ke`True`.
+ **ReportContainFailure**
Memberikan instruksi komprehensif untuk memulihkan konfigurasi asli kepala sekolah IAM secara manual selama skenario kegagalan alur kerja penahanan.
+ **ReportRestoreFailure**
Memberikan instruksi terperinci untuk menyelesaikan pemulihan konfigurasi asli kepala sekolah IAM secara manual selama skenario kegagalan alur kerja pemulihan.
1. Setelah eksekusi selesai, tinjau bagian Output untuk hasil eksekusi yang terperinci:
+ **IAMPrincipalMengandung.Output**
Memberikan informasi rinci tentang tindakan penahanan yang dilakukan saat Action disetel ke Contain dan DryRun disetel ke False. Termasuk informasi tentang lokasi cadangan, kebijakan penolakan yang diterapkan, dan konfigurasi yang dimodifikasi.
+ **Kembalikan IAMPrincipal .Output**
Memberikan informasi rinci tentang tindakan restorasi yang dilakukan saat Tindakan diatur ke Restore dan DryRun disetel ke False. Termasuk informasi tentang konfigurasi yang dipulihkan dan masalah apa pun yang dihadapi selama pemulihan.
+ **ReportContain.Keluaran**
Mengeluarkan informasi rinci tentang tindakan penahanan yang akan dilakukan ketika Action diatur ke Contain dan DryRun disetel ke True. Termasuk perbandingan konfigurasi saat ini dan pasca-penahanan.
+ **ReportRestore.Keluaran**
Mengeluarkan informasi rinci tentang tindakan restorasi yang akan dilakukan ketika Action diatur ke Restore dan DryRun disetel ke True. Menunjukkan konfigurasi saat ini dan konfigurasi asli yang akan dipulihkan.
+ **ReportContainFailure.Keluaran**
Memberikan instruksi komprehensif untuk memulihkan konfigurasi asli kepala sekolah IAM secara manual selama skenario kegagalan alur kerja penahanan.
+ **ReportRestoreFailure.Keluaran**
Memberikan instruksi terperinci untuk menyelesaikan pemulihan konfigurasi asli kepala sekolah IAM secara manual selama skenario kegagalan alur kerja pemulihan.
**Keluaran**
Setelah eksekusi selesai, tinjau bagian Output untuk hasil terperinci:
+ **IAMPrincipalMengandung.Output**
Memberikan informasi rinci tentang tindakan penahanan yang dilakukan saat Action disetel ke Contain dan DryRun disetel ke False. Termasuk informasi tentang lokasi cadangan, kebijakan penolakan yang diterapkan, dan konfigurasi yang dimodifikasi.
+ **Kembalikan IAMPrincipal .Output**
Memberikan informasi rinci tentang tindakan restorasi yang dilakukan saat Tindakan diatur ke Restore dan DryRun disetel ke False. Termasuk informasi tentang konfigurasi yang dipulihkan dan masalah apa pun yang dihadapi selama pemulihan.
+ **ReportContain.Keluaran**
Mengeluarkan informasi rinci tentang tindakan penahanan yang akan dilakukan ketika Action diatur ke Contain dan DryRun disetel ke True. Termasuk perbandingan konfigurasi saat ini dan pasca-penahanan.
+ **ReportRestore.Keluaran**
Mengeluarkan informasi rinci tentang tindakan restorasi yang akan dilakukan ketika Action diatur ke Restore dan DryRun disetel ke True. Menunjukkan konfigurasi saat ini dan konfigurasi asli yang akan dipulihkan.
+ **ReportContainFailure.Keluaran**
Memberikan instruksi komprehensif untuk memulihkan konfigurasi asli kepala sekolah IAM secara manual selama skenario kegagalan alur kerja penahanan.
+ **ReportRestoreFailure.Keluaran**
Memberikan instruksi terperinci untuk menyelesaikan pemulihan konfigurasi asli kepala sekolah IAM secara manual selama skenario kegagalan alur kerja pemulihan.
**Referensi**
Otomatisasi Systems Manager
+ [Jalankan Otomasi ini (konsol)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ContainIAMPrincipal)
+ [Menjalankan otomatisasi sederhana](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Menyiapkan Otomasi](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Support Automation Workflow](https://aws.amazon.com/premiumsupport/technology/saw/)