Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # `AWSSupport-GrantPermissionsToIAMUser` **Descrizione** Questo runbook concede le autorizzazioni specificate a un gruppo IAM (nuovo o esistente) e vi aggiunge l'utente IAM esistente. Le policy valide disponibili sono: [Billing (Fatturazione)](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/job-function/Billing$serviceLevelSummary) o [Support (Supporto)](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSSupportAccess$serviceLevelSummary). Per abilitare l'accesso al servizio di fatturazione per IAM, ricorda di attivare anche l'[accesso utente IAM e l'accesso utente federato alle pagine di fatturazione e gestione costi](https://docs.aws.amazon.com/console/iam/billing-enable). **Importante** Se si specifica un gruppo di IAM esistente, a tutti gli utenti IAM correnti inclusi nel gruppo verranno assegnate le nuove autorizzazioni. [Esegui questa automazione (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-GrantPermissionsToIAMUser) **Tipo di documento** Automazione **Proprietario** Amazon **Piattaforme** LinuxmacOS, Windows **Parametri** + AutomationAssumeRole Tipo: String Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook. + IAMGroupNome Tipo: String Impostazione predefinita: ExampleSupportAndBillingGroup Descrizione: (obbligatorio) può essere un gruppo nuovo o esistente. Deve essere conforme ai [limiti per i nomi delle entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html#reference_iam-limits-names). + IAMUserNome Tipo: String Predefinito: ExampleUser Descrizione: (obbligatorio) deve essere un utente esistente. + LambdaAssumeRole Tipo: String Descrizione: (facoltativo) ARN del ruolo presunto da Lambda. + Permissions Tipo: String Valori validi: SupportFullAccess \$1 BillingFullAccess \$1 SupportAndBillingFullAccess Predefinito: SupportAndBillingFullAccess Descrizione: (Obbligatorio) Scegli una delle seguenti opzioni: `SupportFullAccess` garantisce l'accesso completo al Support center. `BillingFullAccess`concede l'accesso completo alla dashboard di fatturazione. `SupportAndBillingFullAccess`garantisce l'accesso completo sia al Support center che alla dashboard di fatturazione. Ulteriori informazioni sulle policy sono disponibili nei dettagli del documento. **Autorizzazioni IAM richieste** Il `AutomationAssumeRole` parametro richiede le seguenti azioni per utilizzare correttamente il runbook. Le autorizzazioni richieste dipendono dalla modalità `AWSSupport-GrantPermissionsToIAMUser` di esecuzione. **In esecuzione come utente o ruolo attualmente connesso** Si consiglia di allegare la policy gestita di `AmazonSSMAutomationRole` Amazon e le seguenti autorizzazioni aggiuntive per poter creare la funzione Lambda e il ruolo IAM da passare a Lambda: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "lambda:InvokeFunction", "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:GetFunction" ], "Resource": "arn:aws:lambda:*:111122223333:function:AWSSupport-*", "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "iam:CreateGroup", "iam:AddUserToGroup", "iam:ListAttachedGroupPolicies", "iam:GetGroup", "iam:GetUser" ], "Resource": [ "arn:aws:iam::*:user/*", "arn:aws:iam::*:group/*" ] }, { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy" ], "Resource": "*", "Condition": { "ArnEquals": { "iam:PolicyArn": [ "arn:aws:iam::aws:policy/job-function/Billing", "arn:aws:iam::aws:policy/AWSSupportAccess" ] } } }, { "Effect": "Allow", "Action": [ "iam:ListAccountAliases", "iam:GetAccountSummary" ], "Resource": "*" } ] } ``` ------ **Utilizzo di e AutomationAssumeRole LambdaAssumeRole** L'utente deve disporre dei StartAutomationExecution permessi **ssm:** sul runbook e **iam: PassRole** sui ruoli IAM passati come and. **AutomationAssumeRole**LambdaAssumeRole**** Di seguito sono riportate le autorizzazione richieste da ciascun ruolo IAM: ``` AutomationAssumeRole { "Version": "2012-10-17", "Statement": [ { "Action": [ "lambda:InvokeFunction", "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:GetFunction" ], "Resource": "arn:aws:lambda:*:ACCOUNTID:function:AWSSupport-*", "Effect": "Allow" } ] } ``` ``` LambdaAssumeRole { "Version": "2012-10-17", "Statement": [ { "Effect" : "Allow", "Action" : [ "iam:CreateGroup", "iam:AddUserToGroup", "iam:ListAttachedGroupPolicies", "iam:GetGroup", "iam:GetUser" ], "Resource" : [ "arn:aws:iam::*:user/*", "arn:aws:iam::*:group/*" ] }, { "Effect" : "Allow", "Action" : [ "iam:AttachGroupPolicy" ], "Resource": "*", "Condition": { "ArnEquals": { "iam:PolicyArn": [ "arn:aws:iam::aws:policy/job-function/Billing", "arn:aws:iam::aws:policy/AWSSupportAccess" ] } } }, { "Effect" : "Allow", "Action" : [ "iam:ListAccountAliases", "iam:GetAccountSummary" ], "Resource" : "*" } ] } ``` **Fasi del documento** 1. `aws:createStack`- Esegui CloudFormation Template per creare una funzione Lambda. 1. `aws:invokeLambdaFunction`- Esegui Lambda per impostare le autorizzazioni IAM. 1. `aws:deleteStack`- Elimina CloudFormation modello. **Output** configureIAM.Payload