Полезная статья по установке SSM Manager - есть отсутствующий в документации список используемых SSM менеджером API.
Вообще, по теме доступа для SSM Manager, единственный найденный список, чтобы не использовать встроенную AmazonEC2RoleforSSM - policy для SSM.
В реальности это, видимо, компиляция из официальной доки, которая описыват лишь отдельные права (потому нужно проверять), а полные даются лишь присоединяемой (ManagedPolicy) ролью, чтобы это делать отдельно, а не давать в шаблоне изначально — иначе будут полные права, в частности, на s3, которые есть в AmazonEC2RoleforSSM. Итого, я пока оставляю свои, вручную подобратнные когда-то для SSM-agent (чтобы не было ошибок в логах - уже может устарело, нужно обновить):
Вообще, по теме доступа для SSM Manager, единственный найденный список, чтобы не использовать встроенную AmazonEC2RoleforSSM - policy для SSM.
В реальности это, видимо, компиляция из официальной доки, которая описыват лишь отдельные права (потому нужно проверять), а полные даются лишь присоединяемой (ManagedPolicy) ролью, чтобы это делать отдельно, а не давать в шаблоне изначально — иначе будут полные права, в частности, на s3, которые есть в AmazonEC2RoleforSSM. Итого, я пока оставляю свои, вручную подобратнные когда-то для SSM-agent (чтобы не было ошибок в логах - уже может устарело, нужно обновить):
- PolicyName: amazon-ssm-agent#ssm #ssm_manager #policy #AmazonEC2RoleforSSM #check #todo
PolicyDocument:
Statement:
- Effect: Allow
Action:
- 'ssm:UpdateInstanceInformation'
- 'ssm:ListAssociations'
Resource:
- 'arn:aws:ec2:*:*:instance/*'
- 'arn:aws:ssm:*:*:*'
Easy Cloud
Setting Up AWS Systems Manager
This section describes tasks and prerequisites for setting up AWS Systems Manager. Use the following table to help you get started.
What do you want to do with Systems Manager?
Set up tasks
Verify...
What do you want to do with Systems Manager?
Set up tasks
Verify...
Для отладки проблем на AWS - мои #best_practices:
- включить логирование с помощью awslogs
- включить vpc flow logs (их можно/нужно складывать в ES для просмотра)
- не забывать / проверить права Network ACL
- не забывать про исходящий трафик, который может быть почему-то закрыт
- смотреть в awslogs-логах на инстансе с проблемами - каких конкретно прав не хватает сервисам типа SSM
- для S3 не забывать про зависимость от регионов
- для cross-account работы S3 не забывать, что у аккаунта из которого идёт доступ даже админу нужно дать права на s3://bucket-in-other-acc (т.к. по умолчанию лишь на свои #check_it)
- не забывать про Route Tables, особенно при VPC-пиринге в разные подсети
- не забывать про текущие ограничения некоторых сервисов, что не всё может делаться через CloudFormation и что новообъявленные фичи не сразу имплементируются (в CloudFormation + зависит от региона)
- не забывать про отличие IAM и S3 policy как resource-based
- не забывать, что для public-ресурсов (например, ES) нельзя использовать IAM role (только user + credentials и уже у юзера может быть роль) - для IAM role нужно использовать ресурсы в VPC
#trace #logs #todo #use_it
- включить логирование с помощью awslogs
- включить vpc flow logs (их можно/нужно складывать в ES для просмотра)
- не забывать / проверить права Network ACL
- не забывать про исходящий трафик, который может быть почему-то закрыт
- смотреть в awslogs-логах на инстансе с проблемами - каких конкретно прав не хватает сервисам типа SSM
- для S3 не забывать про зависимость от регионов
- для cross-account работы S3 не забывать, что у аккаунта из которого идёт доступ даже админу нужно дать права на s3://bucket-in-other-acc (т.к. по умолчанию лишь на свои #check_it)
- не забывать про Route Tables, особенно при VPC-пиринге в разные подсети
- не забывать про текущие ограничения некоторых сервисов, что не всё может делаться через CloudFormation и что новообъявленные фичи не сразу имплементируются (в CloudFormation + зависит от региона)
- не забывать про отличие IAM и S3 policy как resource-based
- не забывать, что для public-ресурсов (например, ES) нельзя использовать IAM role (только user + credentials и уже у юзера может быть роль) - для IAM role нужно использовать ресурсы в VPC
#trace #logs #todo #use_it