Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# `AWSSupport-ContainIAMPrincipal`
**Descrizione**
In caso di incidente di sicurezza o di sospetta compromissione di un utente/ruolo AWS Identity and Access Management (IAM) o di un utente dell' AWS Identity Center (IDC), è fondamentale isolare rapidamente l'identità interessata, preservandone al contempo la configurazione per le indagini. Il `AWSSupport-ContainIAMPrincipal` runbook fornisce un approccio strutturato e reversibile per contenere le identità IAM o IDC compromesse, bloccando efficacemente il loro accesso alle risorse e prevenendo la potenziale diffusione della compromissione. AWS
Questo processo automatizzato consente l'indagine senza alterazioni permanenti della configurazione dell'identità, consentendo il ripristino del normale accesso quando ritenuto appropriato. Il processo di contenimento mantiene l'utente o il ruolo all'interno di IAM o l'utente all'interno di IDC, isolandolo efficacemente da tutte le attività di rete. Questo isolamento impedisce alla risorsa di identità contenuta di comunicare con le risorse all'interno del tuo Amazon Virtual Private Cloud o di accedere alle risorse Internet. Il contenimento è progettato per essere reversibile e consentire il ripristino del normale accesso quando ritenuto appropriato.
**Come funziona?**
Il `AWSSupport-ContainIAMPrincipal` runbook implementa un processo di contenimento completo per gli utenti, i ruoli e gli utenti di Identity Center di IAM. Quando viene eseguito in `Contain` modalità, prima convalida tutti i parametri di input ed esegue controlli di sicurezza sul bucket Amazon S3 specificato. Quindi raccoglie informazioni dettagliate sul principale IAM di destinazione e applica le misure di contenimento appropriate in base al tipo principale. Per gli utenti IAM, disabilita le chiavi di accesso, rimuove l'accesso alla console e applica una politica di negazione. Per i ruoli IAM, allega una policy di negazione che revoca le autorizzazioni per le sessioni create prima del contenimento. Per gli utenti di Identity Center, rimuove i set di autorizzazioni, le appartenenze ai gruppi e applica una politica di negazione. Durante tutto il processo, il runbook esegue il backup della configurazione originale in un bucket Amazon S3 per un potenziale ripristino. Quando viene eseguito in `Restore` modalità, tenta di riportare il file principale allo stato di precontenimento utilizzando la configurazione di backup. Il runbook include un'`DryRun`opzione per visualizzare in anteprima le modifiche senza applicarle e fornisce report completi sia sulle operazioni riuscite che sugli scenari di errore.
**Importante**
**Uso di privilegi elevati:** questo documento SSM esegue diverse operazioni che richiedono privilegi elevati, come la modifica delle policy di identità IAM e IDC e l'applicazione di configurazioni di quarantena. Queste azioni potrebbero potenzialmente portare a un aumento dei privilegi o avere un impatto su altri carichi di lavoro che dipendono dalle identità di destinazione. È necessario esaminare le autorizzazioni concesse al ruolo specificato dal `AutomationAssumeRole` parametro e assicurarsi che siano appropriate per il caso d'uso previsto. Puoi fare riferimento alla seguente AWS documentazione per ulteriori informazioni sulle autorizzazioni IAM:
[Autorizzazioni di Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_permissions.html)
[AWS Autorizzazioni di automazione di Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-permissions.html)
**Rischi di indisponibilità del carico di lavoro:** questo documento Systems Manager esegue azioni di isolamento che potrebbero potenzialmente causare indisponibilità o interruzioni dei carichi di lavoro. Se eseguito durante un evento di sicurezza, limiterà l'accesso alla risorsa interessata revocando le autorizzazioni AWS API alle identità IAM e IDC specificate, impedendo loro di effettuare chiamate o azioni API. AWS Ciò potrebbe influire su tutte le applicazioni o i servizi che dipendono da queste identità.
**Creazione di risorse aggiuntive:** il documento di automazione può creare in modo condizionale risorse aggiuntive, come un bucket Amazon Simple Storage Service (Amazon S3) e oggetti Amazon S3 in essi memorizzati, a seconda dei parametri di esecuzione. Queste risorse comporteranno costi aggiuntivi in base all'utilizzo. AWS
**Rischi di ripristino:** se il parametro *Action* è impostato su`Restore`, questo documento SSM tenta di ripristinare la configurazione dell'identità IAM o IDC allo stato originale. Tuttavia, esiste il rischio che il processo di ripristino possa fallire, lasciando l'identità IAM o IDC in uno stato incoerente. Il documento fornisce istruzioni per il ripristino manuale in caso di tali errori, ma è necessario essere preparati a gestire potenziali problemi durante il processo di ripristino.
Si consiglia di esaminare attentamente il runbook, comprenderne i potenziali impatti e testarlo in un ambiente non di produzione prima di eseguirlo nell'ambiente di produzione.
[Esegui questa automazione (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ContainIAMPrincipal)
**Tipo di documento**
Automazione
**Proprietario**
Amazon
**Piattaforme**
/
**Autorizzazioni IAM richieste**
Il `AutomationAssumeRole` parametro richiede le seguenti autorizzazioni per utilizzare correttamente il runbook:
+ s3: GetBucketLocation
+ s3: GetBucket
+ s3: ListBucket
+ s3: GetBucketPublicAccessBlocks
+ s3: GetAccountPublicAccessBlocks
+ s3: GetBucketPolicyStatus
+ s3: GetBucketAcl
+ s3: GetObject
+ s3: CreateBucket
+ s3: PutObject
+ obiettivo: GetUser
+ Io sono: GetUserPolicy
+ Io sono: GetRole
+ Io sono: ListUserPolicies
+ Io sono: ListAttachedUserPolicies
+ Io sono: ListAccessKeys
+ Io sono: ListMfaDevices
+ Io sono: ListVirtual MFADevices
+ Io sono: GetLoginProfile
+ Io sono: GetPolicy
+ Io sono: GetRolePolicy
+ Io sono: ListPolicies
+ Io sono: ListAttachedRolePolicies
+ Io sono: ListRolePolicies
+ Io sono: UpdateAccessKey
+ Io sono: CreateAccessKey
+ Io sono: DeleteLoginProfile
+ Io sono: DeleteAccessKey
+ Io sono: PutUserPolicy
+ Io sono: DeleteUserPolicy
+ IAM: disattiva MFADevice
+ sono: AttachRolePolicy
+ Io sono: AttachUserPolicy
+ Io sono: DeleteRolePolicy
+ Iam: tag MFADevice
+ Sono: PutRolePolicy
+ Io sono: TagPolicy
+ Io sono: TagRole
+ Io sono: TagUser
+ Io sono: UntagUser
+ Io sono: UntagRole
+ organizzazioni: ListAccounts
+ quindi: ListPermissionSetsProvisionedToAccount
+ sso: GetInlinePolicyForPermissionSet
+ sso: ListInstances
+ cartella sso: SearchUsers
+ sso: ListPermissionSets
+ sso: ListAccountAssignments
+ cartella sso: DescribeUser
+ archivio di identità: ListUsers
+ archivio di identità: ListGroups
+ archivio di identità: IsMemberInGroups
+ archivio di identità: ListGroupMemberships
+ gestore dei segreti: CreateSecret
+ gestore dei segreti: DeleteSecret
+ quindi: DeleteAccountAssignment
+ sso: PutInlinePolicyToPermissionSet
+ sso: CreateAccountAssignment
+ sso: DeleteInlinePolicyFromPermissionSet
+ sso: TagResource
+ sso: UntagResource
+ archivio di identità: DeleteGroupMembership
+ archivio di identità: CreateGroupMembership
Ecco un esempio di policy IAM che concede le autorizzazioni necessarie per: `AutomationAssumeRole`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Permissions",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketPolicyStatus",
"s3:GetBucketAcl",
"s3:GetObject",
"s3:CreateBucket",
"s3:PutObject"
],
"Resource": "*"
},
{
"Sid": "IAMPermissions",
"Effect": "Allow",
"Action": [
"iam:GetUser",
"iam:GetUserPolicy",
"iam:GetRole",
"iam:ListUserPolicies",
"iam:ListAttachedUserPolicies",
"iam:ListAccessKeys",
"iam:ListMfaDevices",
"iam:ListVirtualMFADevices",
"iam:GetLoginProfile",
"iam:GetPolicy",
"iam:GetRolePolicy",
"iam:ListPolicies",
"iam:ListAttachedRolePolicies",
"iam:ListRolePolicies",
"iam:UpdateAccessKey",
"iam:CreateAccessKey",
"iam:DeleteLoginProfile",
"iam:DeleteAccessKey",
"iam:PutUserPolicy",
"iam:DeleteUserPolicy",
"iam:DeactivateMFADevice",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DeleteRolePolicy",
"iam:TagMFADevice",
"iam:PutRolePolicy",
"iam:TagPolicy",
"iam:TagRole",
"iam:TagUser",
"iam:UntagUser",
"iam:UntagRole"
],
"Resource": "*"
},
{
"Sid": "OrganizationsPermissions",
"Effect": "Allow",
"Action": [
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Sid": "SSOPermissions",
"Effect": "Allow",
"Action": [
"sso:ListPermissionSetsProvisionedToAccount",
"sso:GetInlinePolicyForPermissionSet",
"sso:ListInstances",
"sso-directory:SearchUsers",
"sso:ListPermissionSets",
"sso:ListAccountAssignments",
"sso-directory:DescribeUser",
"sso:DeleteAccountAssignment",
"sso:PutInlinePolicyToPermissionSet",
"sso:CreateAccountAssignment",
"sso:DeleteInlinePolicyFromPermissionSet",
"sso:TagResource",
"sso:UntagResource"
],
"Resource": "*"
},
{
"Sid": "IdentityStorePermissions",
"Effect": "Allow",
"Action": [
"identitystore:ListUsers",
"identitystore:ListGroups",
"identitystore:IsMemberInGroups",
"identitystore:ListGroupMemberships",
"identitystore:DeleteGroupMembership",
"identitystore:CreateGroupMembership"
],
"Resource": "*"
},
{
"Sid": "SecretsManagerPermissions",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:DeleteSecret"
],
"Resource": "*"
}
]
}
```
------
**Istruzioni**
Segui questi passaggi per configurare l'automazione:
1. Accedere [AWSSupport-ContainIAMPrincipal](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ContainIAMPrincipal/description)alla console AWS Systems Manager.
1. Seleziona **Execute automation** (Esegui automazione).
1. Per i parametri di input, inserisci quanto segue:
+ **AutomationAssumeRole (Facoltativo):**
+ Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.
+ Tipo: `AWS::IAM::Role::Arn`
+ **PrincipalType (Obbligatorio):**
+ Descrizione: (Obbligatorio) Il AWS tipo principale IAM: utente IAM, ruolo IAM o utente Identity Center.
+ Tipo: stringa
+ Valori consentiti: `IAM user|IAM role|Identity Center user`
+ **PrincipalName (Obbligatorio):**
+ Descrizione: (Obbligatorio) Il nome del principale IAM. Per gli utenti di Identity Center, fornisci il nome utente.
+ Tipo: String
+ Modello consentito: `^[a-zA-Z0-9\\.\\-_\\\\!*'()/+=,@]{1,1024}$`
+ **Azione (richiesta):**
+ Descrizione: (Obbligatorio) Seleziona se `Contain` isolare il principale IAM di destinazione o provare `Restore` a ripristinare il principale IAM alla sua configurazione originale da un backup precedente.
+ Tipo: stringa
+ Valori consentiti: `Contain|Restore`
+ **DryRun (Facoltativo):**
+ Descrizione: (Facoltativo) Se impostata su`true`, l'automazione non apporterà alcuna modifica al principale IAM di destinazione, ma genererà risultati su ciò che avrebbe tentato di modificare, dettagliando ogni passaggio. Valore predefinito: `true`.
+ Tipo: Booleano
+ Valori consentiti: `true|false`
+ **ActivateDisabledKeys(Condizionale):**
+ Descrizione: (Condizionale) Se il parametro di input Action è impostato su `Restore` e l'utente IAM PrincipalType è impostato su, questa opzione determina se questa automazione deve provare ad attivare le chiavi di accesso associate se disattivata. Tieni presente che l'integrità di una chiave di accesso compromessa non può essere verificata. AWS sconsiglia vivamente di riattivare una chiave compromessa. Si consiglia invece di generare nuove chiavi. Valore predefinito: `false`.
+ Tipo: Booleano
+ Valori consentiti: `true|false`
+ **BackupS3 BucketName (condizionale):**
+ Descrizione: (Condizionale) Il bucket Amazon Amazon S3 per il backup della configurazione principale IAM quando l'Action è impostata su o `Contain` per ripristinare la configurazione da quando l'Action è impostata. `Restore` Tieni presente che se l'azione specificata è `Contain` e il runbook non è in grado di accedere al bucket o non viene fornito un valore, nel tuo account viene creato un nuovo bucket con il nome. `awssupport-containiamprincipal-` Se DryRun è impostato su `true` questo parametro è obbligatorio.
+ Tipo: `AWS::S3::Bucket::Name`
+ **BackupS3 KeyName (condizionale):**
+ Descrizione: (Condizionale) Se Action è impostato su`Restore`, specifica la chiave Amazon Amazon S3 che l'automazione utilizzerà per tentare di ripristinare la configurazione principale IAM. La chiave Amazon S3 segue in genere questo formato:. `{year}/{month}/{day}/{hour}/{minute}/{automation_execution_id}.json` La chiave può essere ottenuta dall'output di una precedente esecuzione di automazione del contenimento.
+ Tipo: String
+ Modello consentito: `^[a-zA-Z0-9\\.\\-_\\\\!*'()/]{0,1024}$`
+ **BackupS3 BucketAccess (condizionale):**
+ Descrizione: (Condizionale) L'ARN degli utenti o dei ruoli IAM a cui sarà consentito l'accesso al bucket Amazon Amazon S3 di backup dopo l'esecuzione delle azioni di contenimento. Questo parametro è obbligatorio quando Action è. `Contain` L'utente o AutomationAssumeRole, in sua assenza, l'utente nel cui contesto viene eseguita l'automazione viene aggiunto automaticamente all'elenco.
+ Tipo: StringList
+ Modello consentito: `^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::[0-9]{12}:(role|user)\\/[\\w+\\/=,.@-]+$`
+ **TagIdentifier (Opzionale):**
+ Descrizione: (Facoltativo) Etichetta il principale IAM con un tag a tua scelta utilizzando il seguente formato:`Key=,Value=`. Questa opzione ti consente di tenere traccia dei principali IAM che sono stati presi di mira da questo runbook. **Nota:** le chiavi e i valori dei tag fanno distinzione tra maiuscole e minuscole.
+ Tipo: String
+ Modello consentito: `^$|^[Kk][Ee][Yy]=[\\+\\-\\=\\.\\_\\:\\/@a-zA-Z0-9]{1,128},[Vv][Aa][Ll][Uu][Ee]=[\\+\\-\\=\\.\\_\\:\\/@a-zA-Z0-9]{0,128}$`
1. Seleziona Esegui.
1. L'automazione viene avviata.
1. Il documento esegue le seguenti operazioni:
+ **ValidateRequiredInputs**
Convalida i parametri di input di automazione richiesti in base a `Action` quanto specificato.
+ **CheckBackupS3BucketName**
Verifica se il bucket Amazon Amazon S3 di destinazione concede `read` potenzialmente l'accesso `write` pubblico ai suoi oggetti. In caso di flusso di lavoro di contenimento, viene creato un nuovo bucket Amazon Amazon S3 se `BackupS3BucketName` il bucket non esiste.
+ **BranchOnAction**
Suddivide l'automazione in base al valore specificato. `Action`
+ **BranchOnPrincipalTypeAndDryRun**
Suddivide l'automazione in base al tipo di principale IAM (utente IAM, ruolo IAM o utente Identity Center) e se è in esecuzione in `DryRun` modalità.
+ **BranchOnPrincipalTypeForContain**
Suddivide l'automazione in base `Contain` all'azione e al tipo principale IAM (utente IAM, ruolo IAM o utente Identity Center) specificato nell'input.
+ **Ottieni IAMUser**
Ottiene l'ora di creazione e il nome utente dell'utente IAM di destinazione.
+ **Ottieni IAMUser dettagli**
Ottiene e archivia la configurazione dell'utente IAM di destinazione, incluse le policy in linea, le policy gestite, le chiavi di accesso, i dispositivi MFA e il profilo di accesso.
+ **Aggiornamenti 3 KeyForUser**
Aggiorna la variabile di automazione 'S3Key' dall'output del passaggio. `GetIAMUserDetails`
+ **Ottieni IAMRole**
Ottiene l'ora di creazione, il nome del ruolo e il percorso del ruolo IAM di destinazione.
+ **Ottieni IAMRole dettagli**
Ottiene e archivia la configurazione del ruolo IAM di destinazione, incluse le policy in linea e le policy gestite associate al ruolo.
+ **Aggiornamenti 3 KeyForRole**
Aggiorna la variabile di automazione 'S3Key' dall'output del passaggio. `GetIAMRoleDetails`
+ **GetIdentityStoreId**
Ottiene l'ID dell'istanza AWS IAM Identity Center associata all' AWS account.
+ **Ottieni IDCUser**
Ottiene l'ID utente dell'utente di Identity Center di destinazione utilizzando l'ID Identity Store.
+ **Raccogli IDCUser dettagli**
Ottiene e archivia la configurazione dell'utente dell'Identity Center di destinazione, incluse le assegnazioni degli account, i set di autorizzazioni associati e le politiche in linea.
+ **Aggiornamenti 3 KeyFor IDCUser**
Aggiorna la variabile di automazione 'S3Key' dall'output del passaggio. `GatherIDCUserDetails`
+ **BranchOnIdentityContain**
Suddivide l'automazione in base al valore `DryRun` e al tipo principale IAM dell'`Contain`azione.
+ **BranchOnDisableAccessKeys**
Suddivide l'automazione in base al fatto che l'utente IAM disponga di chiavi di accesso che devono essere disabilitate.
+ **DisableAccessKeys**
Disattiva le chiavi di accesso utente IAM attive.
+ **BranchOnDisableConsoleAccess**
Filiali a seconda che l'utente IAM abbia abilitato o meno l'accesso alla Console di AWS gestione.
+ **DisableConsoleAccess**
Rimuove l'accesso basato su password dell'utente IAM alla console di gestione. AWS
+ **AttachInlineDenyPolicyToUser**
Allega una politica di negazione all'utente IAM per revocare le autorizzazioni per i token di sessione precedenti.
+ **AttachInlineDenyPolicyToRole**
Allega una politica di negazione al ruolo IAM per revocare le autorizzazioni per i token di sessione precedenti.
+ **RemovePermissionSets**
Rimuove i set di autorizzazioni associati all'utente di Identity Center.
+ **Rimuovi IDCUser da IDCGroups**
Rimuove l'utente di Identity Center dai gruppi di Identity Center.
+ **AttachInlineDenyPolicyToPermissionSet**
Allega una politica di rifiuto ai set di autorizzazioni associati all'utente di Identity Center.
+ **BranchOnReactivateKeys**
Suddivide l'automazione in base al `ActivateDisabledKeys` parametro durante il processo di ripristino.
+ **DetachInlineDenyPolicy**
Rimuove la politica di rifiuto associata al ruolo IAM durante il processo di contenimento.
+ **DetachInlineDenyPolicyFromPermissionSet**
Rimuove la politica di negazione allegata ai set di autorizzazioni durante il processo di contenimento.
+ **ReportContain**
Fornisce informazioni dettagliate sulle azioni di contenimento che verrebbero eseguite quando `DryRun` è impostato su. `True`
+ **ReportRestore**
Fornisce informazioni dettagliate sulle azioni di ripristino che verrebbero eseguite quando `DryRun` è impostato su. `True`
+ **ReportContainFailure**
Fornisce istruzioni complete per ripristinare manualmente la configurazione originale del principale IAM durante uno scenario di errore del flusso di lavoro di contenimento.
+ **ReportRestoreFailure**
Fornisce istruzioni dettagliate per completare manualmente il ripristino della configurazione originale del principale IAM durante uno scenario di errore del workflow di ripristino.
1. Una volta completata l'esecuzione, consulta la sezione Output per i risultati dettagliati dell'esecuzione:
+ **Contiene.Output IAMPrincipal**
Fornisce informazioni dettagliate sulle azioni di contenimento eseguite quando Action è impostato su Contain ed DryRun è impostato su False. Include informazioni sulla posizione di backup, sulle politiche di negazione applicate e sulle configurazioni modificate.
+ **Ripristina .Output IAMPrincipal**
Fornisce informazioni dettagliate sulle azioni di ripristino eseguite quando Action è impostato su Restore ed DryRun è impostato su False. Include informazioni sulle configurazioni ripristinate e sugli eventuali problemi riscontrati durante il ripristino.
+ **ReportContain.Output**
Fornisce informazioni dettagliate sulle azioni di contenimento che verrebbero eseguite quando Action è impostato su Contain ed DryRun è impostato su True. Include un confronto tra le configurazioni attuali e successive al contenimento.
+ **ReportRestore.Output**
Fornisce informazioni dettagliate sulle azioni di ripristino che verrebbero eseguite quando Action è impostato su Restore ed DryRun è impostato su True. Mostra la configurazione corrente e la configurazione originale che verrebbe ripristinata.
+ **ReportContainFailure.Uscita**
Fornisce istruzioni complete per ripristinare manualmente la configurazione originale del principale IAM durante uno scenario di errore del flusso di lavoro di contenimento.
+ **ReportRestoreFailure.Output**
Fornisce istruzioni dettagliate per completare manualmente il ripristino della configurazione originale del principale IAM durante uno scenario di errore del workflow di ripristino.
**Output**
Una volta completata l'esecuzione, consulta la sezione Output per i risultati dettagliati:
+ **Contenere .Output IAMPrincipal**
Fornisce informazioni dettagliate sulle azioni di contenimento eseguite quando Action è impostato su Contain ed DryRun è impostato su False. Include informazioni sulla posizione di backup, sulle politiche di negazione applicate e sulle configurazioni modificate.
+ **Ripristina .Output IAMPrincipal**
Fornisce informazioni dettagliate sulle azioni di ripristino eseguite quando Action è impostato su Restore ed DryRun è impostato su False. Include informazioni sulle configurazioni ripristinate e sugli eventuali problemi riscontrati durante il ripristino.
+ **ReportContain.Output**
Fornisce informazioni dettagliate sulle azioni di contenimento che verrebbero eseguite quando Action è impostato su Contain ed DryRun è impostato su True. Include un confronto tra le configurazioni attuali e successive al contenimento.
+ **ReportRestore.Output**
Fornisce informazioni dettagliate sulle azioni di ripristino che verrebbero eseguite quando Action è impostato su Restore ed DryRun è impostato su True. Mostra la configurazione corrente e la configurazione originale che verrebbe ripristinata.
+ **ReportContainFailure.Uscita**
Fornisce istruzioni complete per ripristinare manualmente la configurazione originale del principale IAM durante uno scenario di errore del flusso di lavoro di contenimento.
+ **ReportRestoreFailure.Output**
Fornisce istruzioni dettagliate per completare manualmente il ripristino della configurazione originale del principale IAM durante uno scenario di errore del workflow di ripristino.
**Riferimenti**
Systems Manager Automation
+ [Esegui questa automazione (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ContainIAMPrincipal)
+ [Esecuzione di un'automazione semplice](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configurazione dell'automazione](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Flussi di lavoro di Support Automation](https://aws.amazon.com/premiumsupport/technology/saw/)