automation-suite
2023.10
true
Guía de instalación de Automation Suite en Linux
Last updated 20 de sep. de 2024

Roles y políticas

La siguiente tabla describe los roles y políticas de IAM que crea la plantilla de CloudFormation:

Tabla 1. Roles de IAM
RolAcciones

CopyRole

Este rol se utiliza para copiar objetos entre depósitos S3. Es una copia de https://github.com/aws-quickstart/lambda-copyzips El repositorio de AWS utilizado inicialmente para AWS QuickStart.

Archivo: copy-zips.template.yaml
  • s3:GetObject
  • s3:PutObject
  • s3:DeleteObject

ACMCertificateRole

El propósito de este rol es crear y verificar un certificado ACM utilizando la validación de DNS y la Ruta 53. Es una copia del certificado https://github.com/aws-quickstart/quickstart-aws-acm-certificate Repositorio de AWS utilizado para el AWS QuickStart.

Archivo: quickstart-aws-acm-certificate.template.yml
  • acm:RequestCertificate

  • acm:DescribeCertificate

  • acm:DeleteCertificate

  • route53:ChangeResourceRecordSets

VPCFlowLogsRole

Este rol sirve como valor del parámetro DeliverLogsPermissionArn en el tipo de recurso AWS::EC2::FlowLog. Es una copia de https://github.com/aws-quickstart/quickstart-aws-vpc Repositorio de inicio rápido.

Archivo: aws-vpc.template.yaml
  • logs:CreateLogStream

  • logs:PutLogEvents

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

AutomationAssumeRole

Este rol se utiliza para varios documentos SSM (AWS::SSM::Document), con los siguientes propósitos:
  • AgentRemoveInstanceDocument: eliminar la instancia del agente del clúster;
  • ServerRemoveInstanceDocument: eliminar la instancia del servidor del clúster;
  • RegisterAiCenter: registrar el servicio AI Center en Orchestrator;
  • OnDemandBackup: crear una instantánea del clúster de Automation Suite;
  • OnDemandRestoreDocument: restaurar el clúster de Automation Suite a partir de una instantánea determinada;
  • GetBackupList: obtener la lista de instantáneas disponibles del clúster de Automation Suite;
  • UpdateAMIDocument: actualizar AMI para los grupos de scall.
Nota: AutomationAssumeRole permite acceso completo a Amazon SSN. Para obtener más información, consulta AmazonSSMFullAccess.
Archivo: ec2-management.template.yaml
  • autoscaling:CompleteLifecycleAction

  • autoscaling:RecordLifecycleActionHeartbeat

  • autoscaling:UpdateAutoScalingGroup

  • ssm:SendCommand

  • autoscaling:DescribeAutoScalingGroups

  • ssm:PutParameter

  • ssm:GetParameter

  • logs:PutLogEvents

  • logs:DescribeLogStreams

  • logs:DescribeLogGroups

  • logs:CreateLogStream

  • logs:CreateLogGroup

  • ec2:DescribeImages

  • ec2:DescribeLaunchTemplates

  • ec2:DescribeLaunchTemplateVersions

  • iam:PassRole

  • ec2:CreateLaunchTemplateVersion

  • ec2:RunInstances

  • states:StartExecution

  • states:DescribeExecution

StateMachinesAssumeRole

Este rol se utiliza para el recurso OnDemandRestoreStateMachine (AWS::StepFunctions::StateMachine). Este recurso se utiliza para la operación de restauración.
Nota: StateMachinesAssumeRole permite acceso completo a Amazon SSN. Para obtener más información, consulta AmazonSSMFullAccess.
Archivo: ec2-management.template.yaml
Utiliza la AmazonSSMFullAccesspolítica administrada.

EventsBridgeAssumeRole

Este rol se utiliza para las siguientes reglas de evento (AWS::Events::Rule):
  • AsRobotsTerminateEventRule
  • AgentTerminateEventRule
  • ServerTerminateEventRule

Las reglas son para la acción de finalización del ciclo de vida.

Archivo: ec2-management.template.yaml
  • ssm:StartautomationExecution

  • iam:PassRole

ObjectStorageBucketsCleanupLambdaRole

Este rol se utiliza para la función lambda ObjectStorageBucketsCleanupFunction y proporciona utilidad para el almacenamiento de objetos.

Archivo: external-storage.template.yaml
  • s3:GetAccelerateConfiguration

  • s3:GetBucketLocation

  • s3:GetBucketVersioning

  • s3:ListBucket

  • s3:ListBucketVersions

  • s3:ListBucketMultipartUploads

  • s3:DeleteObject

  • s3:DeleteObjectVersion

  • logs:CreateLogGroup

  • logs:CreateLogStream

  • logs:PutLogEvents

  • xray:PutTraceSegments

ServiceFabricIamRole

Este rol se hace referencia en los siguientes recursos:

  • ServiceFabricInstanceProfile (AWS::IAM::InstanceProfile)
  • Las siguientes políticas (AWS::IAM::Policy): LogsAccessPolicy, LifecycleHookActionsPolicy, Ec2QueryPolicy, QuickstartS3IAMPolicy, InputJsonSecretPolicy, KubeconfigSecretPolicy, InstallerDownloadUrlParameterPolicy, ExternalStorageAccessPolicy.

Archivo: uipath-sf.template.yaml
Utiliza la AmazonSSMManagedInstanceCorepolítica administrada.

AsgProcessModificationRole

Este rol se utiliza para modificar los procesos ASG durante la creación de la pila CF.

Archivo: uipath-sf.template.yaml
  • autoscaling:ResumeProcesses

  • autoscaling:SuspendProcesses

  • logs:CreateLogGroup

  • logs:CreateLogStream

  • logs:PutLogEvents

FindAmiLambdaRole

Este rol es utilizado por la función lambda FindAMIFunction.

Archivo: uipath-sf.template.yaml
  • ec2:DescribeImages

  • logs:CreateLogGroup

  • logs:CreateLogStream

  • logs:PutLogEvents

  • xray:PutTraceSegments

CreateInputJsonLambdaRole

Este rol es utilizado por la función lambda CreateInputJsonFunction. La función crea el archivo de configuración para la instalación de Automation Suite.

Archivo: uipath-sf.template.yaml
  • secretsmanager:GetSecretValue

  • secretsmanager:PutSecretValue

  • autoscaling:DescribeAutoScalingGroups

  • autoscaling:DescribeAutoScalingInstances

  • logs:CreateLogGroup

  • logs:CreateLogStream

  • logs:PutLogEvents

  • xray:PutTraceSegments

  • ec2:DescribeImages

  • ec2:DescribeInstanceTypes

  • ec2:DescribeInstanceTypeOfferings

ComputeResourceSizeLambdaRole

Este rol es utilizado por la función lambda ComputeResourceSizeFunction. La función valida que la entrada de recursos esté en conformidad con los requisitos de hardware.

Archivo: uipath-sf.template.yaml
  • autoscaling:DescribeAutoScalingGroups

  • autoscaling:DescribeAutoScalingInstances

  • ec2:DescribeInstances

  • ec2:DescribeInstanceTypeOfferings

  • ec2:DescribeInstanceTypes

  • ec2:DescribeImages

  • ec2:RunInstances

  • ec2:CreateTags

  • cloudformation:DescribeStacks

  • logs:CreateLogGroup

  • logs:CreateLogStream

  • logs:PutLogEvents

  • xray:PutTraceSegments

Tabla 2. Políticas de IAM
PolicyAcciones

LogsAccessPolicy

Política de acceso al registro.

  • logs:PutLogEvents

  • logs:DescribeLogStreams

  • logs:DescribeLogGroups

  • logs:CreateLogStream

  • logs:CreateLogGroup

  • cloudwatch:PutMetricData

  • xray:PutTraceSegments

LifecycleHookActionsPolicy

Política de acceso de hook de ciclo de vida.

autoscaling:CompleteLifecycleAction

Ec2QueryPolicy

Política de acceso EC2 y ASG.

  • ec2:DescribeVolumes

  • ec2:DescribeTags

  • ec2:DescribeInstances

  • autoscaling:DescribeAutoScalingInstances

  • autoscaling:DescribeAutoScalingGroups

  • ec2:DescribeImages

  • ec2:DescribeInstanceTypes

  • ec2:DescribeInstanceTypeOfferings

QuickstartS3IAMPolicy

Política para obtener acceso al depósito QS S3.

s3:GetObject

InputJsonSecretPolicy

Política para permitir el acceso al gestor de secretos.

  • secretsmanager:GetSecretValue

  • secretsmanager:PutSecretValue

KubeconfigSecretPolicy

Política para permitir el acceso al gestor de secretos.

  • secretsmanager:GetSecretValue

  • secretsmanager:PutSecretValue

InstallerDownloadUrlParameterPolicy

Política para permitir el acceso a los parámetros SSM.

ssm:GetParameter

ExternalStorageAccessPolicy

Política para permitir el acceso al almacenamiento externo.

  • s3:GetBucketAcl

  • s3:GetBucketCORS

  • s3:GetBucketLocation

  • s3:GetBucketNotification

  • s3:GetBucketPolicy

  • s3:PutBucketPolicy

  • s3:DeleteBucketPolicy

  • s3:GetBucketVersioning

  • s3:ListBucket

  • s3:ListBucketMultipartUploads

  • s3:PutBucketAcl

  • s3:PutBucketCORS

  • s3:*Object

  • s3:*ObjectAcl

  • s3:*ObjectAttributes

  • s3:*ObjectVersion

  • s3:*ObjectVersionTagging

  • s3:AbortMultipartUpload

  • s3:ListMultipartUploadParts

  • s3:ListAllMyBuckets

¿Te ha resultado útil esta página?

Obtén la ayuda que necesitas
RPA para el aprendizaje - Cursos de automatización
Foro de la comunidad UiPath
Uipath Logo White
Confianza y seguridad
© 2005-2024 UiPath. Todos los derechos reservados.