设置自动化 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置自动化

要设置自动化(Amazon Systems Manager),您必须确保用户对自动化服务具有访问权限并按情景配置角色,以便服务可在您的资源上执行操作。我们还建议您在 Automation 首选项中选择使用自适应并发模式。自适应并发会自动扩展您的自动化配额以满足您的需求。有关更多信息,请参阅允许 Automation 适应您的并发需求

为确保正确访问 Amazon Systems Manager 自动化,请查看以下用户和服务角色要求。

验证用户的运行手册访问权限

确认您有权使用运行手册。如果已为您的用户、组或角色分配了管理员权限,则您有权访问 Systems Manager 自动化。如果您没有管理员权限,则管理员必须通过向您的用户、组或角色分配 AmazonSSMFullAccess 托管策略或提供类似权限的策略,来向您授予权限。

重要

IAM policy AmazonSSMFullAccess 授予对 Systems Manager 进行操作的权限。但是,某些运行手册需要其他服务的权限,例如运行手册 AWS-ReleaseElasticIP,它需要 ec2:ReleaseAddress 的 IAM 权限。因此,您必须查看运行手册中采取的操作,以确保为您的用户、组或角色分配了执行运行手册包括的操作所需的权限。

为自动化配置服务角色(担任角色)访问权限

自动化可以在服务角色(或代入角色)的上下文下启动。这样服务就能够代表您执行操作。如果未指定担任角色,则自动化将使用调用了自动化的用户的上下文。

不过,以下情况需要您为自动化指定服务角色:

  • 当您想限制用户对资源的权限,但希望用户运行需要提升权限的自动化时。在这种情况下,您可以创建具有提升权限的服务角色并允许用户运行自动化。

  • 创建 Systems Manager State Manager 关联,运行一个运行手册。

  • 您有运行时长预计将超过 12 小时的操作时。

  • 在运行不归 Amazon 所有并使用 aws:executeScript 操作调用 Amazon API 操作或对 Amazon 资源执行操作的运行手册时。有关信息,请参阅 使用运行手册的权限

如果您需要为自动化创建一个服务角色,可以使用以下方法之一。