View a markdown version of this page

AWSSupport-TerminateIPMonitoringFromVPC - AWS Systems Manager Automation Runbook 參考

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWSSupport-TerminateIPMonitoringFromVPC

Description

AWSSupport-TerminateIPMonitoringFromVPC 會終止先前由 啟動的 IP AWSSupport-SetupIPMonitoringFromVPC 監控測試。與指定測試 ID 相關的資料都會刪除。

執行此自動化 (主控台)

文件類型

 自動化

擁有者

Amazon

平台

Linux、macOS、 Windows

參數

  • AutomationAssumeRole

    類型:字串

    描述:(選用) 允許 Systems Manager Automation 代表您執行動作的 (IAM) 角色的 AWS Identity and Access Management Amazon Resource Name (ARN)。如果未指定角色,Systems Manager Automation 會使用啟動此 Runbook 之使用者的許可。

  • AutomationExecutionId

    類型:字串

    描述:(必要) 您先前執行 AWSSupport-SetupIPMonitoringFromVPC Runbook 時來自 的自動化執行 ID。與此執行 ID 相關聯的所有資源都會遭到刪除。

  • InstanceId

    類型:字串

    描述:(必要) 監控執行個體的執行個體 ID。

  • SubnetId

    類型:字串

    描述:(必要) 監控執行個體的子網路 ID。

必要的 IAM 許可

AutomationAssumeRole 參數需要下列動作才能成功使用 Runbook。

建議執行自動化的使用者連接 AmazonSSMAutomationRole IAM 受管政策。此外,使用者必須將下列政策連接至其使用者、群組或角色:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:DetachRolePolicy",
                "iam:RemoveRoleFromInstanceProfile",
                "iam:DeleteRole",
                "iam:DeleteInstanceProfile",
                "iam:DeleteRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::111122223333:role/AWSSupport/SetupIPMonitoringFromVPC_*",
                "arn:aws:iam::111122223333:instance-profile/AWSSupport/SetupIPMonitoringFromVPC_*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "iam:DetachRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::aws:policy/service-role/AmazonSSMManagedInstanceCore"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "cloudwatch:DeleteDashboards"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ec2:DescribeTags",
                "ec2:DescribeInstances",
                "ec2:DescribeSecurityGroups",
                "ec2:DeleteSecurityGroup",
                "ec2:TerminateInstances",
                "ec2:DescribeInstanceStatus"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

文件步驟

  1. aws:assertAwsResourceProperty - 檢查 AutomationExecutionId 和 InstanceId 是否與相同的測試相關。

  2. aws:assertAwsResourceProperty - 檢查 SubnetId 和 InstanceId 是否與相同的測試相關。

  3. aws:executeAwsApi - 擷取測試安全群組。

  4. aws:executeAwsApi - 刪除 CloudWatch 儀表板。

  5. aws:changeInstanceState - 終止測試執行個體。

  6. aws:executeAwsApi - 從角色移除 IAM 執行個體描述檔。

  7. aws:executeAwsApi - 刪除自動化建立的 IAM 執行個體描述檔。

  8. aws:executeAwsApi - 從自動化建立的角色中刪除 CloudWatch 內嵌政策。

  9. aws:executeAwsApi - 從自動化建立的角色分離 AmazonSSMManagedInstanceCore 受管政策。

  10. aws:executeAwsApi - 刪除自動化建立的 IAM 角色。

  11. aws:executeAwsApi - 如果存在,請刪除自動化建立的安全群組。

輸出