automation-suite
2023.10
true
Automation Suite unter Linux – Installationsanleitung
Last updated 4. Okt. 2024

Rollen und Richtlinien

In der folgenden Tabelle werden die IAM-Rollen und -Richtlinien beschrieben, die die CloudFormation-Vorlage erstellt:

Tabelle 1. IAM-Rollen
RolleAktionen

CopyRole

Diese Rolle wird verwendet, um Objekte zwischen S3-Buckets zu kopieren. Es ist eine Kopie von https://github.com/aws-quickstart/Lambda-Copyzips AWS-Repository, das ursprünglich für den AWS QuickStart verwendet wurde.

Datei: copy-zips.template.yaml
  • s3:GetObject
  • s3:PutObject
  • s3:DeleteObject

ACMCertificateRole

Die Zielsetzung dieser Rolle besteht darin, ein ACM-Zertifikat mithilfe von DNS-Validierung und Route 53 zu erstellen und zu verifizieren. Es handelt sich um eine Kopie des https://github.com/aws-quickstart/quickstart-aws-acm-certificate-AWS-Repositorys, das für den AWS QuickStart verwendet wird.

Datei: quickstart-aws-acm-certificate.template.yml
  • acm:RequestCertificate

  • acm:DescribeCertificate

  • acm:DeleteCertificate

  • route53:ChangeResourceRecordSets

VPCFlowLogsRole

Diese Rolle dient als Wert des Parameters DeliverLogsPermissionArn im Ressourcentyp AWS::EC2::FlowLog. Ist es eine Kopie des https://github.com/aws-quickstart/quickstart-aws-vpc QuickStart-Repositorys.

Datei: aws-vpc.template.yaml
  • logs:CreateLogStream

  • logs:PutLogEvents

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

AutomationAssumeRole

Diese Rolle wird für verschiedene SSM-Dokumente (AWS::SSM::Document) mit den folgenden Zwecken verwendet:
  • AgentRemoveInstanceDocument: Entfernen Sie die Agent-Instanz aus dem Cluster;
  • ServerRemoveInstanceDocument: Entfernen Sie die Serverinstanz aus dem Cluster;
  • RegisterAiCenter: Registrieren Sie den AI Center-Dienst beim Orchestrator;
  • OnDemandBackup: Erstellen Sie einen Snapshot des Automation Suite-Clusters;
  • OnDemandRestoreDocument: Stellen Sie den Automation Suite-Cluster aus einem bestimmten Snapshot wieder her;
  • GetBackupList: Rufen Sie die Liste der verfügbaren Snapshots des Automation Suite-Clusters ab;
  • UpdateAMIDocument: Aktualisieren Sie das AMI für die Aufrufgruppen.
Hinweis: AutomationAssumeRole ermöglicht vollständigen Zugriff auf Amazon SSN. Weitere Informationen finden Sie unter AmazonSSMFullAccess.
Datei: ec2-management.template.yaml
  • autoscaling:CompleteLifecycleAction

  • autoscaling:RecordLifecycleActionHeartbeat

  • autoscaling:UpdateAutoScalingGroup

  • ssm:SendCommand

  • autoscaling:DescribeAutoScalingGroups

  • ssm:PutParameter

  • ssm:GetParameter

  • logs:PutLogEvents

  • logs:DescribeLogStreams

  • logs:DescribeLogGroups

  • logs:CreateLogStream

  • logs:CreateLogGroup

  • ec2:DescribeImages

  • ec2:DescribeLaunchTemplates

  • ec2:DescribeLaunchTemplateVersions

  • iam:PassRole

  • ec2:CreateLaunchTemplateVersion

  • ec2:RunInstances

  • states:StartExecution

  • states:DescribeExecution

StateMachinesAssumeRole

Diese Rolle wird für die Ressource OnDemandRestoreStateMachine (AWS::StepFunctions::StateMachine) verwendet. Diese Ressource wird für den Wiederherstellungsvorgang verwendet.
Hinweis: StateMachinesAssumeRole ermöglicht vollständigen Zugriff auf Amazon SSN. Weitere Informationen finden Sie unter AmazonSSMFullAccess.
Datei: ec2-management.template.yaml
Verwendet die verwaltete Richtlinie AmazonSSMFullAccess.

EventsBridgeAssumeRole

Diese Rolle wird für die folgenden Ereignisregeln verwendet (AWS::Events::Rule):
  • AsRobotsTerminateEventRule
  • AgentTerminateEventRule
  • ServerTerminateEventRule

Die Regeln beziehen sich auf die Aktion „Lebenszyklus beenden“.

Datei: ec2-management.template.yaml
  • ssm:StartautomationExecution

  • iam:PassRole

ObjectStorageBucketsCleanupLambdaRole

Diese Rolle wird für die Lambda-Funktion ObjectStorageBucketsCleanupFunction verwendet und bietet ein Dienstprogramm für den Objektspeicher.

Datei: external-storage.template.yaml
  • s3:GetAccelerateConfiguration

  • s3:GetBucketLocation

  • s3:GetBucketVersioning

  • s3:ListBucket

  • s3:ListBucketVersions

  • s3:ListBucketMultipartUploads

  • s3:DeleteObject

  • s3:DeleteObjectVersion

  • logs:CreateLogGroup

  • logs:CreateLogStream

  • logs:PutLogEvents

  • xray:PutTraceSegments

ServiceFabricIamRole

Auf diese Rolle wird in den folgenden Ressourcen verwiesen:

  • ServiceFabricInstanceProfile (AWS::IAM::InstanceProfile)
  • Die folgenden Richtlinien (AWS::IAM::Policy): LogsAccessPolicy, LifecycleHookActionsPolicy, Ec2QueryPolicy, QuickstartS3IAMPolicy, InputJsonSecretPolicy, KubeconfigSecretPolicy, InstallerDownloadUrlParameterPolicy, ExternalStorageAccessPolicy.

Datei: uipath-sf.template.yaml
Verwendet die verwaltete Richtlinie AmazonSSMManagedInstanceCore.

AsgProcessModificationRole

Diese Rolle wird verwendet, um die ASG-Prozesse während der CF-Stapelerstellung zu ändern.

Datei: uipath-sf.template.yaml
  • autoscaling:ResumeProcesses

  • autoscaling:SuspendProcesses

  • logs:CreateLogGroup

  • logs:CreateLogStream

  • logs:PutLogEvents

FindAmiLambdaRole

Diese Rolle wird von der Lambda-Funktion FindAMIFunction verwendet.

Datei: uipath-sf.template.yaml
  • ec2:DescribeImages

  • logs:CreateLogGroup

  • logs:CreateLogStream

  • logs:PutLogEvents

  • xray:PutTraceSegments

CreateInputJsonLambdaRole

Diese Rolle wird von der Lambda-Funktion CreateInputJsonFunction verwendet. Die Funktion erstellt die Konfigurationsdatei für die Automation Suite-Installation.

Datei: uipath-sf.template.yaml
  • secretsmanager:GetSecretValue

  • secretsmanager:PutSecretValue

  • autoscaling:DescribeAutoScalingGroups

  • autoscaling:DescribeAutoScalingInstances

  • logs:CreateLogGroup

  • logs:CreateLogStream

  • logs:PutLogEvents

  • xray:PutTraceSegments

  • ec2:DescribeImages

  • ec2:DescribeInstanceTypes

  • ec2:DescribeInstanceTypeOfferings

ComputeResourceSizeLambdaRole

Diese Rolle wird von der Lambda-Funktion ComputeResourceSizeFunction verwendet. Die Funktion überprüft, ob die Eingabe für Ressourcen den Hardwareanforderungen entspricht.

Datei: uipath-sf.template.yaml
  • autoscaling:DescribeAutoScalingGroups

  • autoscaling:DescribeAutoScalingInstances

  • ec2:DescribeInstances

  • ec2:DescribeInstanceTypeOfferings

  • ec2:DescribeInstanceTypes

  • ec2:DescribeImages

  • ec2:RunInstances

  • ec2:CreateTags

  • cloudformation:DescribeStacks

  • logs:CreateLogGroup

  • logs:CreateLogStream

  • logs:PutLogEvents

  • xray:PutTraceSegments

Tabelle 2. IAM-Richtlinien
PolicyAktionen

LogsAccessPolicy

Richtlinie für den Protokollzugriff.

  • logs:PutLogEvents

  • logs:DescribeLogStreams

  • logs:DescribeLogGroups

  • logs:CreateLogStream

  • logs:CreateLogGroup

  • cloudwatch:PutMetricData

  • xray:PutTraceSegments

LifecycleHookActionsPolicy

Richtlinie für den Lebenszyklus-Hook-Zugriff.

autoscaling:CompleteLifecycleAction

Ec2QueryPolicy

Richtlinie für den Zugriff auf EC2 und ASG.

  • ec2:DescribeVolumes

  • ec2:DescribeTags

  • ec2:DescribeInstances

  • autoscaling:DescribeAutoScalingInstances

  • autoscaling:DescribeAutoScalingGroups

  • ec2:DescribeImages

  • ec2:DescribeInstanceTypes

  • ec2:DescribeInstanceTypeOfferings

QuickstartS3IAMPolicy

Richtlinie für den Zugriff auf das QS S3-Bucket.

s3:GetObject

InputJsonSecretPolicy

Richtlinie zum Zulassen des Zugriffs auf den Geheimnismanager.

  • secretsmanager:GetSecretValue

  • secretsmanager:PutSecretValue

KubeconfigSecretPolicy

Richtlinie zum Zulassen des Zugriffs auf den Geheimnismanager.

  • secretsmanager:GetSecretValue

  • secretsmanager:PutSecretValue

InstallerDownloadUrlParameterPolicy

Richtlinie zum Zulassen des Zugriffs auf SSM-Parameter.

ssm:GetParameter

ExternalStorageAccessPolicy

Richtlinie zum Zulassen des Zugriffs auf den externen Speicher.

  • s3:GetBucketAcl

  • s3:GetBucketCORS

  • s3:GetBucketLocation

  • s3:GetBucketNotification

  • s3:GetBucketPolicy

  • s3:PutBucketPolicy

  • s3:DeleteBucketPolicy

  • s3:GetBucketVersioning

  • s3:ListBucket

  • s3:ListBucketMultipartUploads

  • s3:PutBucketAcl

  • s3:PutBucketCORS

  • s3:*Object

  • s3:*ObjectAcl

  • s3:*ObjectAttributes

  • s3:*ObjectVersion

  • s3:*ObjectVersionTagging

  • s3:AbortMultipartUpload

  • s3:ListMultipartUploadParts

  • s3:ListAllMyBuckets

War diese Seite hilfreich?

Hilfe erhalten
RPA lernen – Automatisierungskurse
UiPath Community-Forum
Uipath Logo White
Vertrauen und Sicherheit
© 2005–2024 UiPath. Alle Rechte vorbehalten