Amazon EC2 Systems Manager
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

使用 Systems Manager 托管策略配置访问权限

Systems Manager 的 IAM 托管策略可帮助您为 Systems Manager 用户和实例快速配置访问权限和其他权限。托管策略执行以下功能:

  • AmazonEC2RoleforSSM (实例信任策略):使实例能够与 Systems Manager API 进行通信。

  • AmazonSSMAutomationRole (服务角色):为 EC2 Automation 服务提供权限,以执行在自动化文档中定义的活动。

  • AmazonSSMFullAccess (用户信任策略):授予用户对 Systems Manager API 和文档的访问权限。将此策略分配给管理员和可信高级用户。

  • AmazonSSMMaintenanceWindowRole (服务角色):EC2 维护时段的服务角色。

  • AmazonSSMReadOnlyAccess (用户信任策略):授予用户对 Systems Manager 只读 API 操作 (例如 Get 和 List) 的访问权限。

如果您要自行创建自定义角色和策略,请参阅使用自定义角色和策略配置访问权限

任务 1:为 Systems Manager 创建用户账户

如果您的 IAM 用户账户在 VPC 中有管理员访问权限,您就拥有在实例上调用 Systems Manager API 的权限。如果您愿意,可以创建利用 Systems Manager 管理实例的唯一专用用户账户。通过以下过程,使用 IAM 托管策略为 Systems Manager 创建新用户。

为 Systems Manager 创建用户账户

  1. IAM 控制台上的 Users 页面中,选择 Add User

  2. Set user details 部分指定用户名 (例如,SystemsManagerUserFullAccessSystemsManagerUserReadOnly)。

  3. Select AWS access type 部分,选择一个或两个访问权限选项。如果您选择 AWS Management Console access,还必须选择密码选项。

  4. 选择下一步:权限

  5. Set permissions for 部分,选择 Attach existing policies directly

  6. 在 Filter 字段中键入 AmazonSSM。

  7. 选择 AmazonSSMFullAccessAmazonSSMReadOnlyAccess 旁边的复选框,然后选择 Next:Review

  8. 验证详细信息,然后选择 Create

重要

如果您为用户指定了密码信息,请在创建用户账户后仔细检查密码信息。

任务 2:为 Systems Manager 托管实例创建角色

使用以下过程创建实例角色,允许实例与 Systems Manager API 通信。创建角色后,您可以按照任务 3 中的描述将它分配给实例。

为 Systems Manager 托管实例创建角色

  1. Open the IAM console at https://console.amazonaws.cn/iam/.

  2. 在导航窗格中选择 Roles,然后选择 Create New Role

  3. Select role type 页面上的 AWS Service Role 下,选择 Amazon EC2 部分中的 Select

  4. Attach Policy 页面上,选择 AmazonEC2RoleforSSM 旁边的选项,然后选择 Next Step

  5. Set role name and review 页面上的 Role name 框中键入名称,然后键入描述。

    注意

    记下角色名称。您在创建希望使用 Systems Manager 进行管理的新实例时,将指定此角色名称。

  6. 选择 Create Role。系统将让您返回到 Roles 页。

任务 3:创建使用 Systems Manager 角色的 Amazon EC2 实例

此过程介绍如何启动 Amazon EC2 实例,该实例使用刚刚创建的角色。您还可以将角色附加到现有实例。有关更多信息,请参阅 Amazon EC2 用户指南 中的将 IAM 角色附加到实例

创建使用 Systems Manager 实例角色的实例

  1. Open the Amazon EC2 console at https://console.amazonaws.cn/ec2/.

  2. 选择支持的区域

  3. 选择 Launch Instance 并选择实例。

  4. 选择实例类型,然后选择 Next: Configure Instance Details

  5. IAM role 下拉列表中,选择您先前创建的 EC2 实例角色。

  6. 完成向导。

如果您希望使用 Systems Manager 配置所创建的其他实例,则必须为每个实例指定 Systems Manager 实例角色。