本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
设置 Maintenance Windows
您的 Amazon Web Services 账户 中的用户必须先获得必要权限,然后才能使用 Amazon Systems Manager 的功能 Maintenance Windows 创建和计划维护时段任务。
开始前的准备工作
要完成这部分中的任务,您需要事先设置以下一个或两个资源:
-
已向 IAM 实体(如用户或组)分配权限。这些用户或组应该已经拥有使用维护时段的常规权限。为此,请将 IAM policy
AmazonSSMFullAccess
分配给用户或组,或者分配另一个 IAM policy,它可为处理维护时段任务的 Systems Manager 提供一组较小的访问权限集。 -
(可选)对于运行 Run Command 任务的维护时段,您可以选择发送 Amazon Simple Notification Service(Amazon SNS)状态通知。Run Command 是 Systems Manager 的一项功能。如果要使用此选项,请首先配置 Amazon SNS 主题,然后再完成这些设置任务。有关为 Systems Manager 配置 Amazon SNS 通知的信息,包括有关创建用于发送 SNS 通知的 IAM 角色的信息,请参阅 使用 Amazon SNS 通知监控 Systems Manager 状态更改。
设置任务概述
要授予用户注册维护时段所需的权限,管理员需要完成以下任务。(完整的说明详见使用控制台配置维护时段权限)。
- 任务 1:创建一个策略以与自定义维护时段角色结合使用
-
维护时段任务需要一个 IAM 角色才能提供在目标资源上运行所需的权限。您运行的任务类型和其他操作要求决定了此策略的内容。
我们提供了一个基本策略,您可以在主题任务 1:为自定义维护时段服务角色创建策略中进行调整。
- 任务 2:为维护时段任务创建自定义服务角色
-
您在任务 1 中创建的策略将附加到您在任务 2 中创建的维护时段角色。当用户注册维护时段任务时,他们需要在任务配置中指定此自定义服务角色。此角色中的权限将允许 Systems Manager 代表您运行维护时段中的任务。
重要
以前,Systems Manager 控制台允许您选择 Amazon 托管式 IAM 服务相关角色
AWSServiceRoleForAmazonSSM
,以用作任务的维护角色。现在不再建议将此角色及其相关策略AmazonSSMServiceRolePolicy
用于维护时段任务。如果您目前在将此角色用于维护时段任务,我们建议您停止使用它。而应创建您自己的 IAM 角色,以便您的维护时段任务运行时在 Systems Manager 与其他 Amazon Web Services之间进行通信。 - 任务 3:向注册维护时段任务的用户授予使用服务角色的权限
-
为用户提供访问自定义维护时段角色的权限,使他们可以将该角色用于维护时段任务。这是您已经向他们授予的权限的补充,以便与适用于 Maintenance Windows 的 Systems Manager API 命令结合使用。此角色传递了运行维护时段任务所需的权限。因此,如果无法传递这些 IAM 权限,用户将无法使用您的自定义服务角色向维护时段分配任务。
- 任务 4:(可选)向未获准注册维护时段任务的用户显式拒绝权限
-
对于您的 Amazon Web Services 账户中您不希望其将任务注册到维护时段的用户,您可以拒绝向其授予
ssm:RegisterTaskWithMaintenanceWindow
权限。这将提供额外的防护,从而阻止不应注册维护时段任务的用户。