Amazon EC2 Systems Manager
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

方法 1:使用 AWS CloudFormation 为 Automation 配置角色

Automation 需要 IAM 实例配置文件角色和服务角色。实例配置文件角色为 Automation 提供在您实例上执行操作的权限,例如执行命令或启动和停止服务。服务角色 (也称为代入角色) 为 Automation 提供权限,用于代入您的 IAM 角色和代表您执行操作。例如,服务角色允许 Automation 在 Automation 文档中执行 aws:createImage 操作时创建新的 Amazon Machine Image (AMI)。您可以从 AWS CloudFormation 模板为 Systems Manager Automation 创建 IAM 实例配置文件角色和服务角色,如此部分中所述。

在您创建实例配置文件角色之后,必须将其分配到计划使用 Automation 配置的实例。有关如何将角色分配到现有实例的信息,请参阅 Amazon EC2 用户指南 中的将 IAM 角色连接到实例。有关如何在创建新实例时分配角色的信息,请参阅 任务 3:创建使用 Systems Manager 角色的 Amazon EC2 实例

注意

您还可以在 Automation 文档中使用这些角色及其 Amazon 资源名称 (ARN),例如 AWS-UpdateLinuxAmi 文档。在 Automation 文档中使用这些角色或其 ARN,可以让 Automation 在您的托管实例上执行操作、启动新实例以及代表您执行操作。要查看示例,请参阅 Automation CLI 演练:修补 Linux AMI

使用 AWS CloudFormation 创建实例配置文件角色和服务角色

使用 AWS CloudFormation,通过以下过程为 Systems Manager Automation 创建所需的 IAM 角色。

创建所需的 IAM 角色

  1. 选择 Launch Stack 按钮。该按钮会打开 AWS CloudFormation 控制台并用 Systems Manager Automation 模板的 URL 填充 Specify an Amazon S3 template URL 字段。

    注意

    选择 View 以查看模板。

    查看 启动

    查看

  2. 选择 Next

  3. Specify Details 页面上的 Stack Name 字段中,选择保留默认值或指定您自己的值。选择 Next

  4. Options 页面上,您无需进行任何选择。选择 Next

  5. Review 页面上,向下滚动并选择 I acknowledge that AWS CloudFormation might create IAM resources 选项。

  6. 选择 Create

大约三分钟左右,AWS CloudFormation 会显示 CREATE_IN_PROGRESS 状态。创建堆栈并且您的角色准备好使用之后,状态会变为 CREATE_COMPLETE

复制 Automation 的角色信息

使用以下过程从 AWS CloudFormation 控制台复制实例配置文件角色和 Automation 服务角色。当您运行 Automation 文档时,必须指定这些角色。

注意

如果您运行 AWS-UpdateLinuxAmi 或 AWS-UpdateWindowsAmi 文档,则无需使用此过程来复制角色信息。这些文档已将必需角色指定为默认值。这些文档中指定的角色使用 IAM 托管策略。

复制角色名称

  1. Open the AWS CloudFormation console at https://console.amazonaws.cn/cloudformation.

  2. 选中您在上一个过程中创建的 Automation 堆栈旁的复选框。

  3. 选择 Resources 选项卡。

  4. Resources 表在 Logical ID 列中包括三个项:AutomationServiceRoleManagedInstanceProfileManagedInstanceRole

  5. 复制 ManagedInstanceProfilePhysical ID。物理 ID 类似于 Automation-ManagedInstanceProfile-1a2b3c4。这是您的实例配置文件角色的名称。

  6. 在文本文件中粘贴实例配置文件角色以供以后使用。

  7. AutomationServiceRole 选择 Physical ID 链接。IAM 控制台将打开并显示 Automation 服务角色的摘要。

  8. 复制 Role ARN 旁边的 Amazon 资源名称 (ARN)。ARN 类似于:arn:aws:iam::12345678:role/Automation-AutomationServiceRole-1A2B3C4D5E

  9. 将 ARN 粘贴到文本文件供以后使用。

您已完成了为 Automation 配置所需的角色。现在,您可在 Automation 文档中使用实例配置文件角色和 Automation 服务角色 ARN。有关更多信息,请参阅 Automation 控制台演练:修补 Linux AMIAutomation CLI 演练:修补 Linux AMI